Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

28 junio 2014

ESET Security Forum

ESET Security Forum Header 

Hola a todos.

La entrada de hoy es para agradecer a ESET haberme permitido asistir a la tercera edición del Security Forum. Un encuentro de profesionales de la seguridad que se reunen para debatir sobre temas de actualidad.

En esta ocasión contó con la presencia del capitán César Lorenzana, del GDT Guardia Civil (), Lorenzo Martínez (), Pablo Fernández Burgueño (), Deepak Daswani (), Fernando de la Cuadra y Josep Albors, de ESET, Juan Antonio Calles () y Román Ramírez (@patowc). Si no los conocéis, os recomiendo echar un vistazo a la información que hay sobre ellos en el foro de ESET.

En formato mesa redonda, se trataron temas tan interesantes como el "derecho al olvido" y la reciente sentencia al respecto que el bufete @Abanlex ganó contra Google. Aunque Pablo, que fue quien llevó el caso, comentó que lo único que pueden reconocer es que el Tribunal Europeo les ha dado la razón y ha mostrado a los tribunales españoles cómo debe interpretarse en ese caso concreto. Y es que el tema del derecho al olvido y los buscadores de Internet dista mucho de ser fácil de interpretar. ¿Es un problema técnico o simplemente es cuestión de querer y de gastarse el dinero necesario? Lorenzo y Román no parecían ponerse de acuerdo.

También se habló de la Ciberguerra (que no es lo mismo que el ciberespionaje, puntualizó César). Casi todos nuestros cachivaches tecnológicos han sido fabricados en cuatro países. ¿Qué pasaría si éstos dispusieran de una puerta trasera para poder "apagarnos" el país y, por ejemplo, invadirnos?

Pero lo que más preocupaba a los participantes era la protección de los menores en la red: nuestros hijos necesitan referentes morales y que los padres comprendan su mundo digital para poder darles consejos. ¿Vosotros sabéis, por ejemplo, quién es "vegetta777"? Al parecer causa furor entre los más pequeños. Confieso que yo es la primera vez que oía hablar de él.

Éste es solo un breve resumen de lo que se habló. Si queréis saber un poquito más, podéis buscar en Twitter con el hashtag #esetsecurityforum y os encontraréis con los comentarios que íbamos poniendo sobre la marcha. Y para ver la sesión entera está su canal de Youtube:



Al terminar, pudimos disfrutar de una charla distendida entre los asistentes y con los ponentes, además de una riquísima cena-coctel. Aprovecho para dar las gracias a todos los que se acercaron a saludarme amablemente; y a los que no pude saludar: espero que la próxima tengamos la oportunidad.

Por si fuera poco, al salir por la puerta nos esperaba una última sorpresa: una bolsa con algunos regalitos, entre los cuales no podía faltar el consabido antivirus.

Así es que, una velada fantástica, a que quizá os queráis apuntar el próximo año.

¡Gracias, ESET!

19 junio 2014

Asegurando tu Wifi para que no te metan gol


Ya os comenté en un post anterior lo importante que era tener bien configurada la seguridad de la red Wifi y lo peligroso que era conectarse a una que no lo fuera.

Una Wifi abierta es como una portería sin portero. Una mal configurada, como un portero que no rinde. Y conectarnos por ahí, a cualquier Wifi que veamos, sin tomar las debidas precauciones, es como marcar un gol en propia puerta.

Así es que, para que no nos pase lo que a los mejores equipos en los peores momentos y que los ciberdelincuentes no nos metan gol, vamos a repasar algunas ideas básicas de seguridad Wifi.

Aquí explico cómo configurar la Wifi con conexión VDSL del router VH4032N de Vodafone. Pero el ejemplo es extrapolable a cualquier otro router Wifi de las demás compañías.


Lo podemos hacer entrando al router con el usuario "vodafone" (sin comillas). La contraseña es la misma. No hace falta ser administradores.

Lo primero es cambiar la contraseña del router. Para ello, conectaremos el cable RJ45 (el de las cabezas amarillas) al puerto LAN de nuestro equipo y a uno de los LAN de la parte trasera del router. Ya tenemos red y podemos acceder al router tecleando su IP (http://192.168.0.1) en el navegador. La contraseña se cambia en "Configuración Cuenta", como se ve en la imagen:


Un fallo que le veo es que no se pueda entrar por https. Me da por pensar que si alguien ha conseguido colarse, puede estar ahí esperando a ver qué tecleo y se queda con mi clave. Yo es que soy muy paranoica. Por lo que he visto, el router cuenta con un servidor micro_httpd que no lo tiene configurado (habrá que hacerse administrador; dejo eso para una futura entrada). Lo que sí está bien es que telnet y esas cosas están capadas.

De todos modos, la seguridad que viene por defecto es la WPA, que no es la mejor, pero no es mala. No obstante, lo siguiente que vamos a hacer es cambiarla por WPA2, entrando en Wifi, como se ve en la imagen:



También hay que cambiar el nombre SSID por uno que no de pistas a los vecinos sobre el modelo del router. Respecto a lo de ocultar o no el SSID, no hay consenso. Hay quien dice que es mejor ocultarlo para dar menos pistas todavía y que no aparezca nuestra red en la lista de disponibles. Hay quien opina que es mejor dejarlo, ya que hay métodos para averiguar los nombres ocultos y, ocultándolo, estaríamos forzando a nuestros dispositivos a buscar la red, anunciando su nombre, incluso cuando no estamos en casa. Entonces, si se encuentra cerca alguien con conocimientos y malas intenciones podría montar un AP falso para hacer que se conecte el dispositivo automáticamente. No lo tengo muy claro. De todos modos, he optado por dejarlo.

La opción de cifrado que hay que poner es la AES. Existe la posibilidad (en mi router) de poner TKIP o TKIP+AES, pero TKIP es menos seguro. Así es que pondremos AES, sin posiblidad de cambiar a TKIP. Parece que lo han puesto solo por compatibilidad.

Si queremos dejarlo todavía mejor, añadiremos donde dice "Filtrado MAC" las direcciones MAC de nuestros dispositivos. De esta manera, nos aseguramos de que solo éstos se podrán conectar. ¿Cómo sabemos la MAC? Depende del caso, con "ipconfig /all" en el caso de windows, "ifconfig" en Linux, o mirando las propiedades avanzadas de las conexiones wifi de los Android. Cuando queráis conectaros con un nuevo dispositivo, acordaos de añadirlo aquí.

Otra buena medida de seguridad es desactivar cosas como el DLNA y UPnP si no los vas a usar (si vas a hacer un centro multimedia en el hogar, déjalos). Ya sabemos que siempre aparecen vulnerabilidades por todas partes; por eso, es una buena regla que si no lo usas, no lo actives; y por ello inventaron aquel acrónimo que insulta al usuario, al tiempo que lo besa: KISS (Keep It Simple, Stupid). El DHCP yo también lo quito porque siempre me da problemas y asigno las IP de conexión a la Wifi de manera estática.

Algo que no he visto es cómo cerrar la sesión una vez terminado el trabajo; y mira que le he dado vueltas a los menús. La única solución es cerrar el navegador. A mí es que me gusta cerrarlo todo antes de irme porque nunca se sabe. Y más con una conexión http.

En las imágenes que he puesto aparecen los SSID y contraseñas originales de Vodafone. No es buena idea poner en internet imágenes con los datos de nuestra Wifi. El futbol tiene sus riesgos y la internet los suyos. Pero, si somos precavidos, disminuiremos los riesgos de que nos eliminen de la liga.

Si queréis más información sobre por qué y cómo proteger la wifi, os recomiendo este excelente post de la Oficina de Seguridad del Internauta.