Seguridad en internet (en la práctica).

Que entren en tu correo laboral puede provocar tu despido o incluso un juicio, y que roben tu cuenta de facebook puede provocarte muchos problemas, muy graves, de reputación personal y profesional (incluyendo, también, algún juicio)… y éstos son sólo dos ejemplos concretos.

Hace poco escribía sobre la ingeniería social, una entrada algo alarmista, asustaviejas, o “trenecito de la bruja” si queréis. Hablaba del peligro de poner respuestas reales a la hora de usar preguntas de seguridad del tipo a “¿En qué hospital naciste?” o contraseñas que tengan que ver con nuestra vida personal. Hacía hincapié en que al hacerlo dábamos muchas pistas sobre nuestras contraseñas a cualquiera que nos conociese. Sobre todo si contestábamos con respuestas reales a las preguntas de seguridad.

Pues bien, no sería muy valiente por mi parte asustaros con la posibilidad de sufrir toda suerte de desastres sin dar soluciones, así que voy a escribir una serie de entradas al respecto, de las cuales ésta es la primera. Entradas en las que os propondré técnicas que personalmente pongo en práctica para mantener mis datos, cuentas y andaduras por internet medianamente a salvo. ¿Que os parecen excesivas?, no pasa nada: la seguridad es cosa de cada uno. ¿Que os parecen flojas y tenéis alguna sugerencia?, se agradecen propuestas en los comentarios. ¿Que las conocéis ya, y las aplicáis? Mejor que mejor. No estoy inventando nada 🙂

Para mí, como para tantos otros, una buena solución pasa por usar un gestor de contraseñas para almacenar de forma segura claves fuertes y aleatorias. Es importante que disponga de una versión para el ordenador (PC o Mac) y para el móvil (cualquiera que sea el sistema operativo de tu teléfono móvil). Es deseable que incorpore sincronización entre dispositivos para compartir las contraseñas entre tus ordenadores y teléfonos móviles. Si no incorpora sincronización, es deseable que sea compatible con algún servicio de cloud en el que confíes, y que sea mínimamente seguro, tipo Dropbox. 1password [enlace en inglés] es un ejemplo que se ha convertido estos días en una de las aplicaciones de referencia para estas tareas, seguro que habéis leído sobre ella algo en twitter o en algunos de los blogs de referencia en estos temas. LastPass [enlace en inglés] es otro servicio muy conocido, y KeePass [enlace en inglés] (o derivados [en inglés también :-(]) suele ser un sospechoso habitual cuando se habla de soluciones similares dentro del software libre.

¿Qué hacen estos programas? Almacenan todas tus contraseñas en una pequeña base de datos, protegida y cifrada con una contraseña principal, o maestra. Esta contraseña será la única que debas recordar; de ahí, por ejemplo, viene el nombre de 1password, cuyo lema es “una única password que recordar”, y LastPass toma su nombre de “The Last Password you have to remember”, “La última contraseña que debes recordar”. Sus bases de datos soportan los campos habituales (nombre de usuario, contraseña, dirección de la página web a donde pertenecen), y en muchas ocasiones permiten adjuntar ficheros (un PDF, un archivo de texto) y notas a una contraseña almacenada. Como el almacén de contraseñas está cifrado, aún sufriendo el robo de los ficheros en donde la almacenan podemos estar seguros de que tendremos tiempo suficiente para cambiarlas.

Pues nada, al lío.

En primer lugar he escogido KeePass [enlace en inglés] y KeePass2Android porque los precios de otras soluciones, sin duda valiosas, me parecen excesivos. Tampoco estoy recomendando esta pareja como la mejor, pero con respecto al resto de soluciones mencionadas y sin poner en duda su valor, creo que KeePass cumple su función de forma notable y además sirve como ejemplo, que es de lo que se trata en este blog. Sin embargo tiene como principal problema que está en inglés, cosa que deja mucho que desear pero que intentaré compensar con una entrada detallada, de tipo tutorial. 1password no está traducido y es carísimo, lo cual es un escándalo, pero no hagamos leña… en fin.

En segundo lugar, como servicio de cloud, voy a escoger Dropbox ya que es compatible con KeePass2Android, es gratuito, bastante sencillo de usar y además es un servicio aceptablemente seguro:

Lo que haríamos para disponer de un conjunto de contraseñas seguras en todos nuestros dispositivos sería lo siguiente, y en este orden:

  1. Instalamos el KeePass en el PC, y KeePass2Android en el móvil.
  2. En el PC, creamos una nueva base de datos y le asignamos una contraseña que llamaremos a partir de ahora contraseña maestra (ya que es lo que es), y que:
    1. No debería ser fácil. Mi recomendación es que en un papel escribamos letras mayúsculas, minúsculas y números a boleo, y le demos un par de vueltas hasta que veamos un galimatías irreconocible / no relacionable con ninguna palabra, número de teléfono, fecha,…
    2. Nos la deberemos aprender de memoria.
    3. No debe quedar escrita en ningún sitio y nadie más debe saber.

Hasta aquí hemos construido un almacén seguro para las contraseñas a nivel local en un PC. Dependiendo de lo difícil que sea la contraseña maestra, más tardará un cracker en romperla si nos roba el fichero de contraseñas. A continuación:

  1. Activamos la verificación en dos pasos en Dropbox, configurando el número de teléfono móvil, el Google Authenticator y descargando el código o códigos de recuperación a nuestro equipo.
  2. Revisamos en Dropbox la lista de aplicaciones autorizadas, dispositivos vinculados y sesiones abiertas, y revocamos todo acceso no reconocible, antiguo o que no nos resulte familiar hasta quedarnos tan sólo, si hace falta, con nuestro ordenador y móvil principales.
  3. Generamos una contraseña segura para Dropbox con el generador de KeePass, es decir, aleatoria, y cambiamos la que tuviéramos en Dropbox por la nueva, copiándola desde la propia entrada de Dropbox de nuestro almacén de claves. Yo suelo usar contraseñas de 20 caracteres porque es una longitud aceptable y admitida por la mayor parte de los servicios web en los que tengo cuenta.
  4. Adjuntamos el código o los códigos de recuperación del mecanismo de verificación en dos pasos al registro de Dropbox dentro de KeePass. Recordad que el almacén de claves se cifra cuando se cierra el programa, por lo que está a buen recaudo.
  5. Cerrando previamente KeePass en el PC, movemos el fichero de contraseñas a la carpeta de Dropbox que escojamos.
  6. Volvemos a abrir KeePass seleccionando el fichero que acabamos de mover en su nueva ubicación en Dropbox, para dejarlo todo listo en la parte Windows.
  7. Cogemos el móvil y abrimos KeePass2Android, seleccionando el mismo fichero a través de la opción de Dropbox como tipo de almacenamiento. Deberemos insertar la contraseña maestra que hemos inventado y memorizado anteriormente, porque es con ella con la KeePass ha cifrado el almacén de claves en el PC. Al abrirlo, deberíamos ver el registro de Dropbox que hemos creado en el paso 3 de esta lista: eso indicará que la sincronización funciona y por ello que la solución ya está completa.

A partir de aquí tendríamos que hacer una lista de todos los sitios web que contengan acceso a nuestras cuentas bancarias, que tengan configuradas o almacenen tarjetas de crédito, información sensible, valiosa, confidencial, o que perder el control podría poner en peligro nuestra reputación (Google, twitter, linkedin, facebook,…), e irlas cambiando una por una por contraseñas largas y generadas por este tipo de aplicaciones. Al usar Dropbox como plataforma de sincronización, los cambios en cualquiera de las aplicaciones que tengamos instaladas en los PC o en los dispositivos móviles se verá reflejado en los otros. Sin embargo, como todo, puede fallar: no es en absoluto aconsejable abrir la base de datos desde dos sitios al mismo tiempo, y es muy recomendable crear una copia de seguridad de la base de datos periódicamente.

Como resumen, una vez hecho todo esto, ¿qué tenemos?

  1. Tenemos contraseñas fuertes o muy fuertes, cifradas. Sólo tenemos que recordar una contraseña que no podemos olvidar nunca. Si perdemos esta contraseña no podremos abrir el almacén de claves, pero no es tan grave. Todos los servicios web tienen soluciones basadas en el uso del correo electrónico, o del móvil, para restablecer la contraseña. Algunos tienen preguntas de seguridad, aunque cada vez menos por lo que ya sabemos (la amenaza de la ingeniería social).
  2. Nuestras contraseñas, seguras y cifradas, están disponibles en todos nuestros PC con Windows y teléfonos con Android. Al estar cifradas, no tenemos un gran peligro inmediato si nos roban el móvil… aunque tenemos que actuar rápido.
  3. Tenemos Dropbox protegido con una contraseña muy fuerte, generada por KeePass, y que no olvidaremos porque la llevamos siempre con nosotros.
  4. Ante el hipotético caso en el que descubran nuestra contraseña de Dropbox, también estamos protegidos, porque hemos activado la verificación en dos pasos.

¿Qué ocurre si aparece una noticia de que las contraseñas de Dropbox se han visto comprometidas? Disponemos de un tiempo más que suficiente para reaccionar. Al haber activado la verificación en dos pasos, si no hemos perdido el móvil no van a poder entrar en nuestra cuenta fácilmente. Aunque entraran, deberían romper la contraseña de la base de datos de KeePass, porque está cifrada: el fichero que hemos guardado en Dropbox no es legible, y si nuestra contraseña es lo suficientemente fuerte podremos cambiar las contraseñas antes de que consigan abrirla, empezando por la de Dropbox.

Entradas relacionadas:

Créditos:

Nota importante: habréis notado que uso la palabra cracker y no la palabra hacker. No es trivial. Un hacker no es un delincuente informático, punto; quien diga lo contrario no tiene ni idea de qué está diciendo. Un hacker es simplemente una persona con la inquietud necesaria para explotar todas las características, todo lo que le ofrece un determinado sistema: nada más. Es el polo opuesto a un usuario que aprende lo mínimo para sobrevivir frente a ese mismo sistema. De por sí, no es malo, ni mucho menos. Cuando alguien usa esa inquietud y sus conocimientos para robar y delinquir no se le llama hacker, sino cracker. El mal uso del término hacker se lo debemos a la prensa y a los medios de comunicación, pero no es correcto.

3 comentarios en “Seguridad en internet (en la práctica).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *