20101101

Seguridad 2.0

Hoy voy a hablar de la seguridad en los dispositivos que usamos todos a día de hoy con total normalidad, como smartphones y portátiles, que son susceptibles a ser robados con gran facilidad y pueden comprometer la integridad de nuestra empresa, su seguridad o nuestra propia seguridad e intimidad.

La explicación de porqué es recomendable no descuidar este aspecto os la brindo en una letra más pequeña, por si queréis saltar directamente a "lo útil". Concienciaros y tomad medidas, no os pase como a cierta persona muy muy cercana a mi, que no le ha prestado atención hasta que a tenido que lamentarlo.


A día de hoy todo el mundo usa su smartphone, almacena contraseñas, mensajes, direcciones, datos datos datos y más datos. De un portátil mejor ni hablar: Fotos, direcciones, facturas, documentos, contraseñas... todos estos datos, a día de hoy pueden suponer una pérdida y un riesgo muchísimo mayor del que pueda suponer el hecho de perder el teléfono o el ordenador. Al final no son más que un puñado (un puñado grande, sí) de euros.


Y es que la gente no se plantea las cosas. Si mañana entran a robar en tu casa con violencia y descubren que tienes mucha pasta o una empresa (por ejemplo), puedes ser un objetivo tentador para repetir. Y si no tienes tanto dinero, pues puede que también, pero en este campo los grandes empresarios son los principales objetivos.


Voy a poner un hipotético caso (o quizá no tan hipotético): Soy un empresario de éxito y dispongo de una cantidad bastante seria de dinero. Entran cuatro tíos a robar con violencia, me amenazan (a mi y a mi familia) con armas, se llevan, por ejemplo, 3.000€ y un portátil.
Bien. Saben dónde vivo y eso ya es malo. Pueden volver a robarme, pueden intentar asaltarme en las cercanías de mi casa o espiarme para conseguir información y extorsionarme o amenazarme. Pero si se han llevado mi portátil con, por ejemplo, las facturas de mis clientes, ya saben algunas de las personas con las que me relaciono. Además, tienen las fotos de la boda de mi hermano, en una carpeta llamada Madrid.
Teléfonos, direcciones, emails, contraseñas...


Ingentes cantidades de información para extorsionarme. No es lo mismo un robo que un secuestro, por ejemplo, y con toda esa información pedir un rescate no es complicado.


Quiero recordaros que vivimos en la Era de la Información y que la información es poder. Y que un smartphone a un empresario es lo que el Anillo Único a Sauron: Si lo pierde, le tienen cogido por los huevos.


A no ser, claro, que el empresario haya tomado ciertas medidas de seguridad. Esa decisión suele venir justo después de haber sufrido una experiencia relacionada con este tema. Y quizá ya sea algo tarde. Por eso escribo esto, para prevenir.


A día de hoy existen diversos métodos de protección de datos en portátiles, como el famoso TPM o el cifrado de disco de Windows 7 Ultimate/Enterprise. Una contraseña de BIOS y otra de Disco Duro dificultarán la extracción de los datos. Cabe destacar que ningún método es infalible y todo es posible en estos ámbitos, de modo que nunca tendremos un método impenetrable, aunque podemos llegar a cuotas bastante aceptables de seguridad.

Aunque no me considero ningún experto en seguridad, creo que puedo ofreceros algunos consejos sobre el tema:

  1. Tener contraseñas seguras (google también aconseja). Esto es: no sean datos evidentes (cumpleaños,nombres,direcciones,1234...), sean del mayor número de caracteres posible y contengan mayúsculas, minúsculas, números y símbolos. Y a ser posible que no tengan significado alguno. Para calcular, más o menos, cuán fuerte es vuestra contraseña, podéis verlo con esta tabla de excel o por estas tablas (no son mías, pero creo que son algo fiables). Por ejemplo, con un ordenador de gama muy alta tardaríamos en descifrar:
    • Una contraseña alfanumérica con mayúsculas y minúsculas de 12 caracteres: 10,7 millones años
    • Contraseña alfanumérica sin sentido, mayús,minus y símbolos de 12 caracteres: 1.578,6 millones de años.
  2. Poner contraseñas desde el inicio del ordenador (podeis acceder a la BIOS y poner que sea necesaria una para pasar al inicio del sistema), pasando por el usuario de Windows/Linux/MacOS. Si añades a esto alguna contraseña maestra como la de Firefox, mejor que mejor.
  3. Carpetas cifradas. Hay programas, como Pispo, que permiten crear carpetas cifradas. También los dispositivos como TPM o los biométricos (lector de huellas dactilares, por ejemplo), traen software de cifrado para protección de carpetas. Es recomendable que la carpeta donde almacenamos las facturas, datos de clientes o fichas de contactos (como las vCard), estén cifradas.
  4. Cifrado de disco. Aquí ya empezamos a jugar en primera división. Cifrar un disco entero o partición puede dar verdaderos quebraderos de cabeza al intruso, a cambio de una pérdida de rendimiento. Con la potencia de procesado y un buen algoritmo elegido (los programas te dan varios a elegir), la pérdida de rendimiento puede ser pequeña, casi imperceptible. Un ejemplo bastante bueno es TrueCrypt, un sistema de cifrado que oculta la información realmente importante y, en caso de no conocer la contraseña, nos permite llevar a un sistema "señuelo" donde podemos tener información falsa. La policía está teniendo problemas con los discos incautados a ETA porque usan este sistema.
  5. Software de localización: Gracias a Luis Jou conocí hace bastante tiempo el software Adeona que permite rastrear tu pc mediante la IP. Entre eso y Google Location, creo que no sería tampoco muy complicado conseguirlo. Este artículo tiene ya sus años, pero nos servirá de explicación.
Los Smartphones son igualmente "protegibles": Una buena contraseña, el bloqueo de teléfono si cambia la Sim, desbloqueo por gestos (Android lo tiene) y este software que, me parece, es bastante interesante: Remote Security.

Espero que os sean de ayuda estos consejos. Quizá más adelante ponga otra entrada y me extienda un poco más en la seguridad de los dispositivos móviles.