Recomendaciones de seguridad para el uso de Internet y dispositivos electrónicos

De -

Para dispositivos personales y servidores:


  • Mantener actualizados los sistemas operativos, aplicaciones y otro software utilizado
  • Realizar respaldos periódicos de la información
  • No abrir ni instalar archivos de orígenes desconocidos, dudosos o cuyo tema no sea de nuestra incumbencia
  • No abrir ni habilitar las macros en programas de ofimática
  • Evitar caer en engaños para abrir o instalar malware a través de adjuntos en correos, ligas a internet
  • Mantener un registro y control del uso de almacenamiento en la nube o dispositivos removibles (USB) para identificar actividades no permitidas como copias o respaldos de información sin autorización
  • Identificar proveedores de servicios de nube confiables, que cuenten con medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de la información almacenada, verificando las condiciones y términos de uso en el contrato a Acuerdo de Niveles de Servicio (SLA por sus siglas en inglés)
  • Limitar los puertos y servicios abiertos e instalados a los mínimos indispensables
  • Utilizar siempre una contraseña para desbloquear los dispositivos (teléfonos inteligentes, tabletas, computadoras, etc). De esta forma disminuimos la posibilidad que alguien pueda acceder a la información de forma no autorizada, ya sea con intención o por accidente.
  • Es recomendable utilizar una contraseña que incluya varias palabras, números y/o caracteres especiales, es recomendable usar “contrafrases”, compuestas por varias palabras, se pueden utilizar mayúsculas en algunas letras de la frase y sustituir algunos caracteres por números o signos. Otra opción es utilizar la validación por huella dactilar que está incluida en algunos dispositivos de gama alta
  • Habilitar la autenticación de dos factores en los servicios que así lo permitan, ya sea mediante el uso de tokens físicos, virtuales, mensajes de texto o mecanismos biométricos
  • No dejar el dispositivo desatendido mientras esté desbloqueado. Es mejor compartir una liga con otras personas o enviar una fotografía a dejar el dispositivo bajo su control. Nunca sabemos si esta persona puede descuidarlo o dárselo a otro, aunque el primero sea de nuestra confianza.
  • Habilitar el cifrado completo del dispositivo y las tarjetas de memoria. En algunos casos a esta característica se le llama cifrado (o encripción) y puede ser habilitada desde las opciones de seguridad y almacenamiento del dispositivo
  • Solo instalar aplicaciones de las tiendas oficiales, observando la reputación del desarrollador y poniendo atención en los permisos que la aplicación solicita. Actualmente las aplicaciones solicitan muchos permisos como uso de los contactos, cámara, micrófono, accesos a las fotografías y almacenamiento. Muchas aplicaciones no podrán ser utilizadas si no se aceptan estos permisos, así que hay que pensar dos veces antes de instalar una nueva aplicación, sobre todo si se trata de un desarrollador poco conocido. También debemos cuestionar si queremos darle permisos a un juego de tener acceso a nuestros contactos, archivos personales o geolocalización. Entre menos permisos y menos aplicaciones tengamos, en este caso es mejor
  • No permitir la instalación de fuentes desconocidas. El sistema operativo tiene desactivada esta opción por defecto y no es recomendable habilitarla en equipos que se usan para trabajo en el día a día; está diseñada para desarrolladores y gente que prueba aplicaciones. Solo instalen aplicaciones de las tiendas oficiales
  • No hacer ”root” al dispositivo o “jailbreak”. Estas modificaciones están diseñadas para alterar el funcionamiento normal del sistema y pueden conllevar riesgos graves, sobre todo si se trata de dispositivos con información personal y profesional sensible o confidencial. Tampoco es recomendable habilitar la depuración vía USB que permite que un equipo conectado por ese puerto tome el control del dispositivo o envíe solicitudes de ejecución de comandos
  • No usar aplicaciones de banca en redes públicas, monitorear que no existan dispositivos desconocidos en las redes propias. Si es necesario usar redes públicas utilizar una VPN
  • Si vamos a permitir que los menores usen aplicaciones de entretenimiento en un dispositivo, es recomendable:
  • o    Activar controles parentales
  • o    No usar ese dispositivo para entornos de trabajo o con datos confidenciales o sensibles.
  • o    Es importante deshabilitar el almacenamiento de datos relativos a pagos de las tarjetas de crédito y otros sistemas de pago para comprar desde las aplicaciones, pues los menores podrían hacer compras de forma inadvertida.
  • o     
  • Controlar el uso de dispositivos personales para funciones de trabajo, estableciendo reglas claras, como una política de Uso de Dispositivos Propios (Bring Your Own Device por sus siglas en inglés) y el monitoreo y control a través de un gestor de dispositivos móviles (Movile Device Manager por sus siglas en inglés)

Recordemos que no existen cosas 100% gratuitas, por lo que una app que no tiene costo, seguramente tiene un modelo de negocio que involucra la venta de los hábitos del usuario, publicidad, la búsqueda de referidos, etc. Con esto no quiero decir que haya que evitar el uso de toda aplicación; en lo personal, utilizo muchas aplicaciones, algunas gratuitas, otras de paga y que piden permisos en mi dispositivo, algunas como Facebook, Twitter, Whatsapp, Waze y muchas otras, simplemente hay que cuidar la reputación de los desarrolladores y limitar el número de aplicaciones que utilizamos, sobre todo las de entretenimiento.

Para los equipos que viven en entornos legacy

Existen condiciones bajo las cuales en algunos equipos es difícil seguir las recomendaciones anteriores, ya sea porque no se tenga control sobre algunos equipos o no puedan ser actualizados, lo recomendable es:

  • Actualizar el resto de los equipos, seguramente no todos los equipos en la red ejecutan los sistemas que necesitan correr el stack certificado, esos deben ser actualizados.
  • Cerrar los puertos no utilizados, por medio de un firewall, ya sea de hardware o software. Así como deshabilitar los servicios que no se utilizan.
  • No exponer a internet servicios que solo se necesitan en la red interna; por ejemplo, si en la red se utilizan carpetas compartidas, lo más probable es que esto solo deba hacerse dentro de la organización, así que ese servidor o equipo no requieren estar expuestos a internet. Si así lo fuera habría que implementar una VPN corporativa.
  • Limitar las funciones, aplicaciones y sistemas que se realizan y ejecutan en los equipos que no pueden ser actualizados, de preferencia mantenerlos en redes aisladas y con el mínimo número de usuarios.
  • Lo anterior, complementado con respaldos periódicos y concientización de seguridad para evitar caer en engaños para abrir o instalar malware a través de adjuntos en correos, ligas a internet, almacenamiento en la nube o dispositivos removibles (USB), permitirá reducir al máximo los riesgos en estos equipos.

Es recomendable cuidar la reputación de los desarrolladores y limitar el número de aplicaciones que utilizamos, recordando que cualquier información que a la que tengan acceso las aplicaciones en nuestro dispositivos, puede ser vulneradas de alguna manera, es importante revisar las políticas de privacidad de las aplicaciones antes de dar su consentimiento para el uso de ciertos datos y validar qué permisos solicita la aplicación, por ejemplo el acceso a los contactos, uso del micrófono o a la cámara de video.


Uso de Macros en suites de ofimática

Para establecer controles para el uso de Macros recomendamos lo siguiente. Están en orden de preferencia, de forma que las primeras son mejores opciones que las últimas. Esto aplica de la misma manera a una sola persona u organización grande:
  • Mantener deshabilitadas las macros y no hacer uso de ellas a menos que sea absolutamente necesario. Si lo es, consideren las siguientes recomendaciones
  • A las macros hay que tratarlas por lo que son: código ejecutable con la posibilidad de alterar los sistemas informáticos, y almacenado en un archivo de ofimática. Por lo que es en sí mismo un desarrollo de software y por ello registrado y controlado bajo las políticas de desarrollo de software de la organización. Desde ese punto de vista, permitir la ejecución de Macros sin algún control, es permitir que cualquiera desarrolle piezas de software, las distribuya y ejecute sin autorización
  • La mayoría de las actividades para las que se usan macros tienen que ver con labores de automatización, análisis, procesamiento y consolidación de datos. Estas actividades bien pueden realizarse de forma centralizada, de forma que los usuarios pueden alimentar la información en archivos convencionales sin macros, que posteriormente serán procesados en un solo equipo que almacena y ejecuta la macro, con los permisos de acceso y privilegios correspondientes, por parte de personal autorizado
  • Realizar revisiones periódicas de la integridad de la macro y de que no contiene funcionalidades no previstas en su diseño y función
  • Si es absolutamente necesario distribuir archivos con macros, actualmente las suites de oficina permiten el firmado de los archivos por medio de certificados digitales, lo cual permitirá asegurar que los archivos no han sido modificados de forma no autorizada y que provienen de un origen confiable. Más información aquí: https://support.office.com/es-es/article/Firmar-digitalmente-un-proyecto-de-macro-956e9cc8-bbf6-4365-8bfa-98505ecd1c01?omkt=es-MX&ui=es-ES&rs=es-MX&ad=MX
  • Solo dar permisos de ejecución a archivos con macros de los cuales estemos seguros de su origen, contenido y funcionalidad
  • Proteger los archivos que contienen macros con contraseña para hacerlos de solo lectura, aunque esto en algunos casos puede limitar la funcionalidad
  • Almacenar los archivos con macros en carpetas compartidas con los permisos necesarios, de forma que solo el personal autorizado pueda modificar los archivos




Recomendaciones generales

Tecnologías de la Información

·         Protege con contraseñas robustas los Sistema, no la compartas con nadie, no utilices la misma contraseña en dos servicios distintos y utiliza un gestor de passwords.
·         Una contraseña robusta puede generarse de distintas formas, ya sea con caracteres aleatorios o basada en algunas palabras, siempre y cuando no sean fáciles de asociar con la persona o servicio, intercalando algunos caracteres especiales y mayúsculas con minúsculas:
CreceCargaElástica
creC3CargaElástic4
creC3>Carga#Elástic4
·          
o
32j$zJTCShIi#4E9
·         Instala y actualiza software de seguridad como antivirus, antimalware, firewalls y monitoreo de aplicaciones
·         Realiza copias de seguridad (respaldos) de la información y realiza pruebas de que funcionan
·         Eliminar información de medios de almacenamiento temporal y equipos reasignados
·         Restringir el uso de equipo con información sensible o confidencial y de ser posible limitar su uso a dentro de las instalaciones
·         Si requiere sacar equipos de la instalaciones, usar cifrado complete de disco

Tecnologías de Comunicaciones

·         Utilizar canales y protocolos de comunicación cifrados (HTTPS, SSL, TLS, VPN administrada por la empresa)
·         Identificar y corroborar el envío y recepción de comunicados con información sensible o confidencial
·         No usar SMS o mensajería instantánea para envío de datos información sensible o confidencial
·         Validar la identidad de los destinatarios antes de enviar información sensible o confidencial
·         Identificar dispositivos conectados a la red y bloquear los desconocidos
·         Separar redes de invitados de redes donde se procesa la información sensible o confidencial

Medidas físicas

  • Llevar bitácoras del personal con acceso al entorno de trabajo
  • Emplear cerraduras y candados para las gavetas y archiveros físicos
  • Uso de mensajería certificada, según lo requiera el tipo de información a enviar
  • Realizar el bloqueo de los equipos cuando no estén en uso
  • Evitar que pantallas o expedientes con información sensible o confidencial estén a la vista de visitantes y clientes
  • Utilizar equipos de video vigilancia donde exista tratamiento de información sensible o confidencial
  • Limitar el acceso al personal interno y externo a las áreas que utilizan información personal, información personal sensible o confidencial, controlar el acceso de dispositivos con cámara, grabadora o video a las áreas que tratan información sensible o confidencial
  • Evitar que personas externas tengan acceso y/o llenen las bitácoras de acceso las instalaciones y registro de equipos, asegurando que la información que se captura en estas bitácoras fue recaba por personal de la organización
  • Utilizar elementos disuasorios como alarmas, guardias de seguridad, rejas, maletines de seguridad, entre otros)


Medidas administrativas

  • Contar con contratos que establezcan claramente las responsabilidades de los proveedores y el personal que tendrá acceso a la información
  • Política de escritorio limpio
  • Hábitos de cierre y resguardo
  • Impresoras, escáneres, copiadoras y buzones limpios
  • Gestión de bitácoras, usuarios y acceso
  • Mecanismos para la destrucción segura de documentos
  • Política de retención y destrucción de información
  • Política de protección de datos para el personal
  • Política y procedimiento para atender y notificar vulneraciones de seguridad.
  • Política de contratación de terceros
  • Realizar revisiones y auditorías internas y de tercera parte

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

Plausibilidad técnica vs prudencia analítica: mi análisis sobre el caso del presunto uso de Claude para vulnerar datos en México

De -
Imagen
  El reportaje de Bloomberg sobre un atacante que habría utilizado Claude, de Anthropic, para comprometer información sensible de instituciones mexicanas merece una lectura más cuidadosa de la que normalmente producen los titulares virales. La nota sostiene, con base en investigadores de Gambit Security, que se extrajeron alrededor de 150 GB de datos y que el ataque afectó registros fiscales, padrones electorales y otros archivos públicos. Pero es de resaltar que el mismo 25 de febrero de 2026, Reuters reportó que Gambit salió de “stealth mode” y anunció una ronda de 61 millones de dólares, mientras que el propio comunicado de la empresa ligó explícitamente ese financiamiento con la divulgación de “nueva investigación” sobre la ruta del ataque en México. Esa coincidencia no invalida por sí sola el hallazgo, pero creo que obliga a separar evidencia técnica de la narrativa comercial. La primera distinción importante es entre lo técnicamente posible y lo específicamente probado. H...
Leer más