(Minghui.org) Nota: Este material de capacitación está destinado a practicantes de fuera de China continental. Los practicantes de China continental pueden utilizarlo como referencia sobre los principios generales, pero algunas partes podrían no ser aplicables.

Índice general

Parte 1 (desarrollada en este artículo)

Directrices generales

Vectores de ataque comunes

Eliminar WeChat, TikTok y aplicaciones similares del dispositivo principal

Apagar los dispositivos y mantenerlos alejados durante las conversaciones delicadas

Ataques directos en línea

Ataques de phishing en línea

Parte 2 (a desarrollarse en la segunda entrega de este artículo)

Supervisar el resumen de acceso al correo electrónico

Mantener los dispositivos actualizados

Usuario estándar para la mayoría de las actividades en los dispositivos

Ejecutar solo aplicaciones de confianza

Proteger los datos de los dispositivos con un código de acceso, un cifrado y una copia de seguridad

Parte 3 (a desarrollarse en la tercera entrega de este artículo)

Detalles técnicos generales

Copia de seguridad de datos

Proteger los datos con encriptación

Utilizar un gestor de contraseñas

Configuración del cliente de correo electrónico

Otras medidas

Dispositivos móviles

Mac OS

Configuraciones de red

Windows

Configuraciones de red

Características de seguridad de Windows 11

Directrices generales

Vectores de ataque comunes

Este material de formación pretende ayudar a mejorar la comprensión de la seguridad de la información y establecer las mejores prácticas. Por favor, dedica tiempo para estudiar y comprender este material, y aplica las mejores prácticas en la medida de lo posible. No es algo que se deba hojear una vez y dejar de lado. Por favor, léelo varias veces para asegurarte de que lo entiendes todo.

Empecemos con una historia para ilustrar algunos fallos de seguridad típicos. Resulta obvio ver por qué son necesarias ciertas prácticas de seguridad.

David consiguió escapar de China y llegó a un aeropuerto de Estados Unidos. Buscó los sitios de práctica en esa ciudad y llamó a John para pedirle ayuda.

John recogió a David en el aeropuerto y este se quedó en casa de John durante unos días antes de trasladarse a un lugar de alquiler. John y David hablaron de muchas cosas mientras tanto, incluida la persecución que David sufrió en China y el plan de David de establecerse en EE.UU. David utilizó la red Wi-Fi de la casa de John para acceder a Internet a través de su teléfono móvil.

David creó un contacto para John en su teléfono y añadió más detalles. El sitio de práctica solo registraba el número de teléfono y el nombre de John. A continuación, David añadió el apellido y el nombre chino de John. Como David iba a volver a la casa de John en el futuro, añadió la dirección de la casa de John a los datos del contacto. Para la solicitud de residencia es necesario utilizar el correo electrónico para intercambiar documentos, así que David añadió el correo electrónico de John a los datos de contacto y empezó a utilizar el correo electrónico para comunicarse con John.

John llevó a David al lugar de intercambio de grupos para ver a otros practicantes y David añadió más contactos.

Al cabo de un tiempo, David recibió un correo electrónico seguro y éste se añadió a la lista de correo electrónico del grupo local. David empezó entonces a ver los mensajes de correo electrónico de muchos practicantes diferentes en varios proyectos. David empezó a ver las funciones de los diferentes practicantes y añadió diligentemente la información a los detalles de los contactos. Por ejemplo, John organiza de vez en cuando grupos de intercambio. David pensó que John debía ser un coordinador o incluso un asistente de FXH. Helen hablaba de varios proyectos al final de cada grupo de intercambio. David pensó que Helen podría ser un miembro de FXH. Marcó diligentemente a John como asistente de FXH y a Helen como miembro de FXH en sus contactos.

John recibió un mensaje en su correo electrónico seguro en el que se le avisaba que debía cambiar la contraseña mediante un enlace que aparecía en el correo. El correo electrónico parecía provenir del administrador del sistema de correo electrónico. Abrió el enlace y la página web le resultó familiar. La página le pedía que introdujera primero su contraseña actual y luego la nueva contraseña dos veces. Lo hizo. Le pareció un poco extraño, ya que seguía pudiendo acceder a su correo electrónico en su teléfono sin cambiar la contraseña guardada.

Más tarde, David recibió un correo electrónico de John con un archivo adjunto titulado "Lista de documentos necesarios para la solicitud de residencia". A David le extrañó un poco, ya que no lo había pedido. Como habían hablado antes de la solicitud de residencia, no era demasiado raro. Lo abrió, ya que confiaba en John. David notó un pequeño retraso mientras se abría el documento. Pensó que su ordenador podría estar poniéndose obsoleto, y siguió adelante.

Más tarde, John recibió un correo electrónico del correo seguro de David con un archivo adjunto titulado "Mis historias de persecución en China". A John le pareció un poco extraño, ya que no le había pedido a David un escrito de este tipo. Pero como John y David ya habían hablado de su persecución en China y ese documento es necesario para la solicitud de residencia, no era del todo inesperado. John abrió el documento. Era, efectivamente, la historia de David publicada en Minghui anteriormente. Él se sintió un poco inquieto, ya que hubo una sutil dificultad al abrirse el documento. John dejó de lado la sensación de intranquilidad y siguió adelante.

Más tarde entraron en la casa de John. Robaron ordenadores portátiles, memorias USB y discos duros externos, con el código fuente del proyecto, las contraseñas de acceso al servidor y las claves, así como una presentación sobre futuros proyectos.

Este no es el final de la historia, pero podemos detenernos aquí para contar cuántos fallos de seguridad se produjeron y qué podemos hacer para evitarlos.

Eliminar WeChat, TikTok y aplicaciones similares del dispositivo principal

Las aplicaciones de China (incluyendo WeChat, TikTok, etc.) recogen mucha información personal del dispositivo, incluyendo los detalles de todos los contactos almacenados en el dispositivo. La maldad no tiene problemas para obtener datos de los creadores de las aplicaciones. Precisamente debido a esta falta de protección de la privacidad, estas aplicaciones suponen importantes riesgos de seguridad para nosotros (un grupo al que la maldad persigue).

En la primera ejecución, WeChat solicitará permiso para acceder a los contactos del dispositivo. Se cerrará inmediatamente si no se concede el permiso solicitado. Si posteriormente puedes utilizar WeChat, habrás concedido a WeChat el permiso para acceder a tus contactos, independientemente de que entiendas las implicaciones o no.

Si David está en la lista negra y tiene WeChat en su teléfono, todos los datos de contacto que añadió diligentemente a su teléfono desde la recogida en el aeropuerto habrían sido tomados por WeChat y habrían acabado en manos de la maldad. Todos los contactos que creó para los practicantes habrían sido enviados a la maldad a través de WeChat, incluyendo el apellido de John, el nombre chino de John, la dirección de su casa, la dirección de correo electrónico, el rol, etc. Dado que David utilizaba el Wi-Fi doméstico de John en su teléfono, los servidores de WeChat habrían registrado la dirección IP de la red doméstica de John.

Por lo tanto, la maldad pudo enviar un correo electrónico de phishing a la dirección de correo electrónico de John. La maldad también pudo atacar la red doméstica de John y sus dispositivos, ya que tenían su dirección IP. Si los ataques de phishing y los ataques directos a la red fracasan, la maldad aún podría realizar ataques físicos, como entrar en la casa de John para robar ordenadores portátiles y discos duros. La maldad también podría acosar a los miembros de la familia de John en China.

Si John hubiera explicado el peligro de WeChat a David en el aeropuerto, y David hubiera eliminado WeChat de su teléfono inmediatamente, la historia se habría detenido allí mismo.

Debemos pedir a todos los practicantes que eliminen WeChat, TikTok y otras aplicaciones similares de China de sus dispositivos principales (teléfonos, tabletas y ordenadores). Si tienen que usar estas aplicaciones, úsenlas en un dispositivo separado que no tenga contactos de practicantes.

Apagar los dispositivos y mantenerlos alejados durante las conversaciones delicadas

Los dispositivos también pueden utilizarse para espiar cuando están vulnerados. Apaga los dispositivos y guárdalos durante las discusiones delicadas. Las discusiones, si son capturadas por la maldad, pueden ser utilizadas en ataques de ingeniería social (por ejemplo, los nombres de los archivos adjuntos en la historia estaban relacionados con las discusiones que John y David habían tenido antes, lo que hacía muy difícil evitar la trampa).

Ataques directos en línea

La maldad podría obtener la dirección IP de un usuario de WeChat. La IP podría ser la IP de la red doméstica del usuario, la IP de la red de la oficina del grupo de medios, o la IP del lugar de intercambio del grupo. La IP será registrada por los servidores de WeChat allá donde vaya el dispositivo mientras WeChat esté funcionando. La maldad podría llevar a cabo ataques en línea dirigidos a los dispositivos con las IP conocidas.

Nuestras defensas contra este tipo de ataque: activar el cortafuegos y mantener todos los dispositivos actualizados con todos los parches de seguridad disponibles. Los dispositivos incluyen ordenadores y dispositivos móviles en la red interna, así como el enrutador de la puerta de enlace.

Ataques de phishing en línea

Los ataques de phishing se llevan a cabo a través de mensajes de correo electrónico y de texto cuidadosamente elaborados que pueden engañar y confundir al usuario destinatario, induciéndole a realizar operaciones en el dispositivo que podrían comprometerlo. Por ejemplo, el correo electrónico puede parecer un correo generado por el sistema que pide al usuario que cambie una contraseña utilizando el enlace del correo, mientras que el enlace está controlado por la maldad. La maldad capturaría la contraseña si el usuario cae en esta trampa. Por ejemplo, el correo electrónico podría parecer que proviene de una persona conocida, pero contener un archivo adjunto malicioso. Muchos tipos de archivos podrían contener malware, incluyendo Word, Excel, PDF, etc. Por ejemplo, el correo electrónico puede contener un enlace a una página web maliciosa. Visitar la página maliciosa podría provocar la instalación de algún tipo de malware en el dispositivo. Los códigos QR también pueden llevar a páginas web maliciosas. Si la maldad sabe más sobre el objetivo, como por ejemplo sus temas de interés actuales, sus relaciones con otras personas, sus conversaciones pasadas, etc., estos detalles pueden ser utilizados por la maldad para crear trampas de ingeniería social. Más detalles, más engaños.

En la historia, la maldad obtuvo la dirección de correo electrónico de John y le envió un correo electrónico de phishing pidiéndole que "cambiara la contraseña" a través de un enlace en el correo electrónico. ¿Por qué este tipo de correo electrónico es engañoso? Porque explota una característica de comportamiento de un sistema de correo electrónico.

Tu sistema de correo electrónico puede recordarte que tu contraseña está a punto de caducar. La maldad se aprovecha de este aspecto.

Es fácil evitar esta trampa si te ciñes a una simple regla. Una vez que veas el recordatorio de contraseña, ve a la página de correo web para cambiar tu contraseña, en lugar de hacer clic en un enlace en el mensaje de correo electrónico. La misma regla se aplica a cualquier cuenta de correo electrónico normal. Ve a la página de correo web (Gmail, Hotmail, etc.), entra y cambia la contraseña desde allí.

Nunca utilices los enlaces de los mensajes de correo electrónico para cambiar tu contraseña. El enlace podría estar controlado por la maldad.

De forma más general, no abras enlaces en los mensajes de correo electrónico a menos que estés seguro de que el enlace es seguro de abrir.

Supongamos que John no superó esta prueba y utilizó el enlace del correo electrónico para cambiar su contraseña. La página web del enlace estaba controlada por la maldad y capturaría la contraseña actual de John en la primera casilla. Como la página web no estaba vinculada a un servidor de correo electrónico del proyecto gestionado por practicantes, la contraseña de John en el servidor de correo electrónico no se cambió. La maldad podría iniciar sesión en el correo electrónico de John y configurar una regla de reenvío. A partir de este momento, todos los mensajes recibidos por John también serían recibidos por la maldad, filtrando mucha información. La regla de reenvío seguirá funcionando incluso si John cambia su contraseña en el futuro, siempre y cuando la regla de reenvío permanezca vigente.

Todo el contenido publicado en este sitio web tiene derecho de autor y pertenece a Minghui.org. Minghui realizará compilaciones de su contenido online de forma regular y/o en ocasiones especiales.