miércoles, 15 de diciembre de 2010

Las buenas contraseñas ofrecen seguridad en Internet — ¿En serio?

top11 passwords gawker Las buenas contraseñas ofrecen seguridad en Internet ¿En serio?

Hace unos días fue hackeada la red de blogs de Gawker Media. A esta pertenecen blogs de tremenda influencia como Gizmodo, Lifehacker e io9. Como resultado, 1.5 millones de usuarios registrados —según algunas versiones— vieron expuestos sus datos vía The Pirate Bay: nombres de usuario, e-mails y, por supuesto, constraseñas. Cuando vi el estudio que The Wall Street Journal realizó con esa información, no me soprendió encontrar que 123456 es la contraseña más popular. A la cual le siguen otras más complejas como password y 12345678. Incluso el número 0, que raya en lo ridículo, está en el undécimo lugar.

En ALT1040 mucho hemos hablado sobre la creación de contraseñas seguras. En 2007 Eduardo Arcos nos ofreció consejos que aún son vigentes para los estándares actuales —quizá caduquen cuando la computación cuántica inunde nuestras vidas, pero ese es otro tema—. Y es que suelen recomendarse buenas prácticas a los usuarios finales, pero ¿qué hay de quienes administran webs con la responsabilidad de resguardar la información de millones de clientes? Tan solo recordemos lo sucedido con Twitter en julio de 2009, cuando se dio a conocer que la contraseña para acceder a sus servidores era… “password”. (Alguna vez se rumoreó que la contraseña maestra de Facebook era “Chuck Norris”.)

Entonces, y he aquí el quid del asunto, ¿de qué sirve seguir todas las recomendaciones de seguridad para crear contraseñas si entre nosotros y nuestra información quizá se encuentre el eslabón más débil?

Por ejemplo, cuando queremos acceder a una nueva red social,

  • ¿acaso nos cuestionamos cómo será gestionada nuestra contraseña? Es raro que así sea.

  • ¿Siempre sabemos si ha sido almacenada o no? ¿Distinguimos la diferencia?

  • Si es el caso, ¿qué hay de los algoritmos de cifrado utilizados? ¿Sabemos si nuestra contraseña fue cifrada con DES, MD5 o AES? Ni siquiera podemos elegir. Más aún, ¿nos enteramos si nuestra preciada clave fue almacenada así tal cual, en claro?

  • Y, ¿presentamos alguna queja cuando detectamos malas prácticas?

password reuse Las buenas contraseñas ofrecen seguridad en Internet ¿En serio?

Al final del día, solemos confiar en los que están del otro lado de la red. De modo que, regresando a la pregunta principal, ¿de qué sirve una contraseña elegante y segura per se cuando no existe la plataforma adecuada para protegerla de los más curiosos o de las malas prácticas de los sysadmin?

Creo que como usuarios de toda clase de servicios en Internet tenemos la responsabilidad, por nuestra propia seguridad, de conocer a quién le entregamos la llave de nuestra información. Y también el derecho a conocer cómo se gestiona. ¿Qué dicen ustedes?

lunes, 13 de diciembre de 2010

Guía definitiva para mantener tus datos seguros en caso de robo o pérdida de tu equipo

En épocas donde las computadoras portátiles son cada día más populares y suele ser nuestro equipo principal, crece la preocupación de la seguridad de nuestros datos, especialmente en caso de robo o pérdida de nuestro equipo.

El hecho es que la mayoría de nosotros no nos preocupamos de hacer respaldos o configurar capas de seguridad para nuestros datos hasta que pasa “algo malo”. Después de eso es cuando tomamos cartas en el asunto, pero mientras tanto, ya perdimos datos. Al final, no es demasiado difícil, es sumamente barato y seguir estos pasos no toma demasiado tiempo.

Esta es una sencilla pero muy efectiva guía para mantener tus datos seguros en caso de robo o pérdida de tu equipo.

1. Siempre, activar la contraseña de acceso a tu máquina

De los argumentos más habituales que escucho para no tener activada la contraseña de acceso a un equipo es que este siempre está dentro de casa o es problemático recordarla o no tenemos tiempo de memorizar una que sea lo suficientemente larga para que se mantenga segura. Pero la realidad es en que siempre hay la posibilidad de que entren a tu casa y roben tus cosas, que pases por un control de seguridad en algún aeropuerto y quieran acceder a tus datos, que pierdas tu portátil en algún lugar y quien lo encuentre pueda ver todos tus documentos privados (fotos, emails, documentos, estados de cuenta) sin tu permiso.

Elegir una contraseña súmamente segura es muchísimo más fácil de lo que crees y no debería ser críptica, de 80 caracteres y sumamente difícil de recordar. Simplemente debes de seguir los siguientes consejos y es más que suficiente:

  1. No usar palabras de diccionario.
  2. No usar tu fecha de nacimiento.
  3. No usar una serie de números (12345 o 123 o 456)
  4. No usar “password”
  5. No usar tu nombre, el nombre de tu pareja, de tu mama o tu papá.

Es decir, mientras menos obvio, mejor. Pero insisto, no es necesario optar por una serie de caracteres al azar. Trata de mezclar números, letras, espacios y algún signo. En The usability of passwords lo explican al detalle pero aconsejaría algo como:

  1. Piensa en una palabra larga pero familiar, no necesariamente en tu idioma natal, pero que te sea extremadamente sencillo recordar. Para este ejemplo voy a usar una palabra en neerlandés, murcielago.
  2. Reemplazo la letra o por un 0 y la e por 3, la a por un 4 y la i por 1. El resultado: murc13l4g0.
  3. Hagamos la primera y la última letra mayúscula: Murc13l4g0.
  4. Finalmente agreguemos un par de espacios y dos símbolos: @ Murc13l4g0 &.

Tenemos así una contraseña de 14 caracteres extremadamente difícil de crackear, pero bastante fácil de recordar. Funciona bien con palabras compuestas o una frase que te sea familiar. Para no tener un punto único de fallo no uses la misma contraseña en más de un servicio, eso significaría que por X o Y motivo, si alguien logra saberla, puede acceder a todas tus cuentas.

2. Elige un buen sistema de respaldo

Las soluciones de respaldo de información en los últimos años se han hecho muy baratos y sobre todo muy sencillos de usar. El tema es que antes había que pasar horas configurando y asegurándonos que el software haga una copia correcta de nuestros archivos y que las haga a tiempo. En muchas ocasiones los sistemas de respaldo hacían nuestros equipos lentos o empezaban el proceso a horas no recomendadas.

Por otro lado estaba el tema del costo de hardware para mantener un respaldo redundante que no se perdiera en el segundo que el almacenamiento en cuestión fallara. La realidad es que tener un solo disco duro externo (de esos que cuestan 100 dólares por 1TB) conectado al equipo para que se haga el respaldo automático cada noche simplemente no es suficiente. Son baratos, y suelen fallar bsastante. Se necesita más.

¿La gran solución? Un flujo de respaldo redundante que implique tener tu información en tres lugares (suena complicado, pero no lo es):

  1. En el disco duro de tu equipo.
  2. En un sistema de respaldo automático de hardware que tengas en casa u oficina.
  3. En un sistema de respaldo automático en la nube.

¿Por qué la redundancia? Si pierdes la información en el disco duro de tu portátil puedes recuperarla en pocas horas rescatándolo del hardware que tengas onsite en casa u oficina. Si se incendia tu lugar de trabajo o tu hogar, tienes un respaldo de toda tu información offsite, en la nube. Tardarás más en descargarla toda, pero siempre estuvo segura. Por último, si mañana te quedas para siempre sin internet o el servicio de respaldo online desaparece de la nada, tendrás siempre tanto el respaldo de hardware en casa/oficina.

Para el sistema de respaldo en casa recomiendo:

  1. La solución más cara: un Drobo que permite hacer muy fácilmente un RAID de 3, 4 o 5 discos duros. Que no tienen que ser de la mejor calidad pues hay redundancia de discos.
  2. Time Capsule, es una solución de costo medio, es sumamente sencillo de configurar (de hecho no hay que configurar nada) pero funciona solo en Mac. El disco duro interno es de una calidad bastante buena. En caso que no te sientas seguro con un solo disco duro es posible conectar un segundo disco duro externo vía USB y transferir la información de un lugar a otro.
  3. Crashplan: Una interesante solución para hacer respaldo de archivos tanto offline como online en Mac, PC y Linux. Se puede usar discos externos.

Insisto en evitar comprar la versión más barata del disco LaCie de 500GB o T1B que suelen costar por lo general 100 dólares o euros. Es bastante atractivo el precio pero la calidad del disco duro que hay dentro es un tanto cuestionable.

Para sistemas de respaldo online:

  1. Dropbox: La sincronización es automática y constante, tengo todos mis documentos y archivos de trabajo ahí. Puedo accederlos desde cualquier lugar vía web, tambien en mi iPhone o en mi Android. Hay una versión gratuita que debería funcionar para la gran mayoría pero también hay versiones de pago con mucha más capacidad. Además Dropbox guarda versiones de cada uno de los archivos que tienes (durante un mes), por lo tanto, puedes revertir cambios o recuperar documentos eliminados.
  2. SugarSync: La competencia directa de Dropbox, comparte muchísimas características. Su mayor ventaja es que se puede sincronizar cualquier carpeta del sistema. La desventaja es que las velocidades de sincronización y transferencia no son tan rápidas y las opciones para compartir carpetas no suelen ser tan fáciles/intuitivas/usables como Dropbox.
  3. Backupify: Funciona puramente como un sistema de respaldo de archivos. Se configura la frecuencia y las carpetas a respaldar.
  4. Google Docs: Aunque no necesariamente sirve para respaldar es siempre buena idea tener una copia de tus documentos en este sistema gratuito o simplemente trabajar desde ahí. Hay herramientas que te permiten subir todos los documentos de tu equipo a la nube.

Una vez que hayas elegido y después configurado tanto el sistema onsite como el sistema offsite, no debes hacer absolutamente nada más. Tus datos están en tres lados distintos y la tranquilidad que eso te ofrece es impagable.

Mi preferencia personal es una combinación de Time Capsule + Dropbox. Pero cada persona tendrá sus propias preferencias.

3. Localiza tu equipo si este fue robado

Nos puede llegar a pasar a todos, el equipo ya fue robado. Pero no todo está perdido. De la misma forma en que los iPhones o los Androids tienen sistemas de localización del equipo o la opción de eliminar absolutamente todos los datos de forma remota en caso extremo, es posible instalar software similar a nuestros portátiles.

El software en cuestión se llama Prey, es un excelente producto chileno que funciona de manera gratuita salvo que tengas más de ¿5? equipos. Es necesario crear una cuenta y registrar tu portátil (descargando e instalando la aplicación). Después de eso te olvidas que existe (salvo que te roben la máquina).

En caso que suceda, accedes a un panel de control vía web donde puedes activar la vigilancia y saber el IP con el cual se han conectado a internet, activar la webcam (en caso que la tenga) y tomar fotos a quien te la robó y eliminar toda información en última instancia.

Con estos tres pasos sentirás seguridad absoluta, no solo de poder recuperar tu información sino de que esta no será accedida y que tal vez inclusive puedas recuperar tu portátil en caso de que lo roben.