Falun Dafa Minghui.org www.minghui.org IMPRIMIR

Capacitación en seguridad de la información (Parte 2 de 3)

Mayo 14, 2022

(Minghui.org) Nota: Este material de capacitación está destinado a practicantes de fuera de China continental. Los practicantes de China continental pueden utilizarlo como referencia sobre los principios generales, pero algunas partes podrían no ser aplicables.

Este material de formación pretende ayudar a mejorar la comprensión de la seguridad de la información y establecer las mejores prácticas. Por favor, dedica tiempo para estudiar y comprender este material, y aplica las mejores prácticas en la medida de lo posible. No es algo que se deba hojear una vez y dejar de lado. Por favor, léelo varias veces para asegurarte de que lo entiendes todo.

Índice

Parte 1 (desarrollada en la primera entrega de este artículo)

Directrices generales

Vectores de ataque comunes

Eliminar WeChat, TikTok y aplicaciones similares del dispositivo principal

Apagar los dispositivos y mantenerlos alejados durante las conversaciones delicadas

Ataques directos en línea

Ataques de phishing en línea

Parte 2 (desarrollada en este artículo)

Supervisar el resumen de acceso al correo electrónico

Mantener los dispositivos actualizados

Usuario estándar para la mayoría de las actividades en los dispositivos

Ejecutar solo aplicaciones de confianza

Proteger los datos de los dispositivos con un código de acceso, un cifrado y una copia de seguridad

Parte 3 (a desarrollarse en la tercera entrega de este artículo)

Detalles técnicos generales

Copia de seguridad de datos

Proteger los datos con encriptación

Utilizar un gestor de contraseñas

Configuración del cliente de correo electrónico

Otras medidas

Dispositivos móviles

Mac OS

Configuraciones de red

Windows

Configuraciones de red

Características de seguridad de Windows 11

Supervisar el resumen de acceso al correo electrónico

Una vez que la maldad obtenga la contraseña del correo electrónico de John, entrará en la cuenta de correo electrónico de John para establecer una regla de reenvío. Así es como la maldad consigue un acceso permanente a los correos electrónicos de John.

Muchos sistemas de correo electrónico gestionados por practicantes tienen una defensa contra este tipo de violación. El sistema envía un resumen de acceso diario a los usuarios. Si John revisara su resumen de acceso, este peligro se habría identificado en un día. John cambiaría entonces su contraseña en un ordenador limpio y revisaría y eliminaría cualquier regla de reenvío.

El resumen de acceso diario enumera los accesos a la cuenta de correo electrónico durante las últimas 24 horas. Incluye las IP desde las que se accede a la cuenta y de qué manera, y si el acceso fue exitoso. Las IP más probables serían las del trabajo (si revisas el correo electrónico desde el trabajo), la de tu casa y la de tu dispositivo móvil (si revisas el correo electrónico desde tus dispositivos móviles). Cualquier IP que esté fuera de este conjunto es sospechosa, especialmente cualquier IP de otra región o país. Puedes utilizar whatismyip.com para averiguar la IP actual de tu teléfono o tu ordenador.

Si John estuviera atento, habría notado un acceso exitoso desde una IP no reconocida que utilizó la interfaz web. Esto sería suficiente para alertar a John de que su contraseña de correo electrónico había sido vulnerada y la configuración de la cuenta de correo electrónico podría haber sido modificada.

Supongamos que John también falló esta prueba. La maldad sería capaz de recibir todos los correos electrónicos de John a partir de este punto. La maldad observará los hilos de correo electrónico y las conversaciones para recopilar información y buscar oportunidades para vulnerar los ordenadores de otras personas a través del malware de correo electrónico y la ingeniería social.

Como John y David habían estado discutiendo sobre solicitudes de residencia, la maldad envió un correo electrónico a David desde la cuenta de correo de John con un malware adjunto.

Mantener los dispositivos actualizados

Como regla general, no abras los archivos adjuntos de los correos electrónicos a menos que estés convencido de que es seguro hacerlo.

Pero, ¿cómo saber si es seguro hacerlo? La forma más sencilla y eficaz es llamar al remitente para confirmarlo. No utilices el correo electrónico para confirmar, ya que la cuenta de correo del remitente puede haber sido intervenida por la maldad.

David habló antes con John sobre las solicitudes de residencia y luego John envió un correo electrónico con un documento llamado "Lista de documentos necesarios para la solicitud de residencia". Sería más fácil descartar los mensajes no esperados o no relevantes o de un remitente desconocido, pero este era algo esperado y definitivamente relevante y de un remitente de confianza. La maldad creó una trampa perfecta de ingeniería social aprovechando el conocimiento previo de las discusiones en curso entre las víctimas.

¿Estamos condenados?

Todavía no.

Lo correcto en este caso es llamar al remitente para confirmar que ha enviado el documento antes de abrirlo. John se daría cuenta entonces de que su cuenta de correo electrónico ha sido vulnerada. Cambiaría su contraseña en un ordenador limpio y revisaría y eliminaría la regla de reenvío.

Supongamos que David no llamó a John y cayó en esta trampa. Abrió el documento y activó el malware incrustado. Lo que ocurra a continuación dependerá del malware y de nuestras defensas en el dispositivo.

Si el malware se dirigiera a una vulnerabilidad conocida en el sistema operativo (SO) o en la aplicación (Word, lector de PDF, Java, etc.) no podría causar daños si el SO y las aplicaciones estuvieran actualizados.

Esta defensa es efectiva y fácil de implementar (manteniendo diligentemente el SO y las aplicaciones actualizadas) pero mucha gente no lo hace.

Debemos instalar las actualizaciones del SO y de las aplicaciones tan pronto como se nos notifique. No hay que demorarse. La mayoría de las aplicaciones (navegadores, lectores de PDF, Java, etc.) tienen mecanismos de actualización automática. Actívalos y utilízalos.

Windows tiene el Windows Defender como parte del SO. Es muy bueno. Elimina cualquier otro software de seguridad de prueba que venga con el PC y utiliza el Windows Defender incorporado. Se actualizará como parte de las actualizaciones del sistema operativo.

Mac OS tiene Gatekeeper, XProtect y Malware Removal Tool. Son muy buenos. Normalmente no es necesario utilizar otras herramientas antivirus para Mac.

Elimina las aplicaciones que no utilices de tus dispositivos para evitar que sean el objetivo de cualquier futuro malware.

David habría estado bien si su dispositivo estuviera actualizado y el malware tuviera como objetivo una vulnerabilidad conocida.

¿Qué pasa si el malware se dirige a una vulnerabilidad desconocida (llamada "día cero")? La vulnerabilidad no está parcheada y los programas antimalware no tienen forma de detectarla.

¿Estamos condenados?

Todavía no.

Usuario estándar para la mayoría de las actividades en los dispositivos

Hay al menos dos tipos de usuarios en un ordenador: administrador y usuario estándar.

Si te conectas como administrador, puedes hacer cualquier cosa en el ordenador. Eso suena bien, pero el malware que hayas activado tendrá los mismos derechos. El malware puede hacer cualquier cosa en tu ordenador si es activado por un administrador.

Si te conectas como un usuario estándar, puedes hacer la mayoría de tus tareas sin problemas, pero no puedes escribir en las carpetas del sistema. Esto suena limitante, pero el malware que actives no podrá crear cosas indeseables en las carpetas del sistema. Esta es una buena protección, ya que normalmente no necesitas escribir en las carpetas del sistema, y el malware activado por ti estará severamente limitado en cuanto al daño que puede causar.

Simplemente iniciando la sesión como un usuario estándar, cierto malware no podrá causar daños aunque se dirija a una vulnerabilidad desconocida.

La buena noticia es que en los sistemas operativos modernos (Windows y Mac) el usuario opera en modo de usuario estándar, incluso si el usuario es un administrador. Si necesita hacer algo que requiera los derechos de administrador, Windows le pedirá que confirme, y MacOS le pedirá que introduzca una contraseña. Esta es tu oportunidad para evitar que el malware se instale o se ejecute como administrador.

En el caso de David, estaba intentando abrir un archivo adjunto de un correo electrónico y se le pidió que permitiera cambios en el sistema. Esta era su oportunidad de decir "No", ya que abrir un documento no debería hacer cambios en el sistema.

Para evitar hacer clic rápidamente en "Sí" sin leer y pensar, se recomienda iniciar la sesión como usuario estándar. Si se ejecuta como usuario estándar, el sistema pedirá la contraseña de un administrador en lugar de una simple pregunta de Sí/No. Es de esperar que esta mayor resistencia nos ayude a detenernos y pensar cuando se nos pida que actuemos.

Así que si ves un aviso en Windows o Mac pidiéndote que introduzcas una contraseña o que permitas que se ejecute una aplicación, por favor, lee el aviso con atención. Si no es la acción que quieres realizar, no introduzcas la contraseña ni permitas que se ejecute, ya que podría tratarse de un malware.

Del mismo modo, si ves un aviso en tu teléfono o tableta pidiéndote que permitas una determinada acción o la instalación de una aplicación, lee atentamente. Si no es la acción que quieres realizar, no hagas clic en nada. Utiliza la opción "Forzar salida" para cerrar todas las aplicaciones que se estén ejecutando y eliminar el mensaje.

Como regla general, cuando el sistema, un correo electrónico o un mensaje de texto te pidan que realices ciertas operaciones, haz una pausa y piensa. Si no es la acción que quieres hacer, no la hagas.

Un ejemplo: una coordinadora estaba negociando el contrato con un teatro y recibió un correo electrónico con un archivo adjunto llamado "Contract draft.xlsx" y el teléfono sonó en el momento en que estaba pensando si abrir el archivo adjunto. Mientras estaba al teléfono abrió el archivo y se dio cuenta de que se había equivocado, ya que el remitente no era ese teatro. El archivo adjunto sí contenía malware. Sin embargo, ella estaba conectada como un usuario estándar y el virus no logró causar daños en su sistema.

Ejecutar solo aplicaciones de confianza

Simplemente iniciando la sesión como un usuario estándar, ciertos programas maliciosos no causarán daños aunque se dirijan a una vulnerabilidad desconocida.

¿Cierto malware, no todo el malware? Sí. Algunos programas maliciosos avanzados pueden elevar a un usuario estándar a administrador y causar daños en el sistema.

¿Seguimos estando condenados?

La verdad es que no.

Nuestra defensa para esto será la lista blanca de aplicaciones: solo ejecutar aplicaciones de confianza.

El malware más avanzado de nuestra historia se dirige a una vulnerabilidad desconocida y tiene la capacidad de escalar privilegios. No se ejecutará si no está en nuestra lista de aplicaciones de confianza y no podrá causar daños en nuestros dispositivos.

La lista blanca de aplicaciones se puede implementar en Windows mediante AppLocker y Smart App Control en Windows 11.

MacOS tiene tres configuraciones: Solo App Store, App Store y Desarrolladores identificados, Abrir de todos modos. La primera configuración, Solo App Store, debería utilizarse la mayor parte del tiempo. Está bien usar la segunda configuración para permitir aplicaciones de Desarrolladores Identificados. Sin embargo, los certificados digitales de los desarrolladores identificados pueden ser robados, por lo que la segunda opción conlleva cierto riesgo. La tercera opción no debería utilizarse normalmente.

El principio de "ejecutar sólo aplicaciones de confianza" es la última defensa. El malware, por muy avanzado que sea, no estará en la lista de nuestras aplicaciones de confianza. Mientras no lo ejecutemos, no podrá causar ningún daño. Del mismo modo, si no caemos en las trampas de la ingeniería social, los archivos adjuntos al correo electrónico y los enlaces maliciosos, así como los mensajes de texto y los códigos QR maliciosos, no causarán daños en nuestros dispositivos.

Supongamos que David no implementa esta defensa y el malware tiene éxito en su dispositivo. Este malware capturará sus contraseñas para todas sus cuentas en línea, incluyendo su cuenta de correo electrónico seguro. Por supuesto, la maldad entrará en su cuenta para configurar una regla de reenvío y enviar un archivo adjunto de malware a John, ahora titulado "Mis historias de persecución en China". Si John cayera en esta trampa abriendo este documento, su ordenador podría verse totalmente comprometido. El ciclo continuaría.

Después de vigilar las actividades en línea de John durante algún tiempo, la maldad decidió que podría valer la pena un viaje a la casa de John. Con la información recopilada anteriormente, la maldad irrumpió en la casa de John y se llevó ordenadores portátiles, discos duros externos y memorias USB.

Proteger los datos de los dispositivos con un código de acceso, un cifrado y una copia de seguridad

¿Hemos perdido todo a estas alturas?

No, si tenemos protección para nuestros dispositivos.

Activa el código de acceso y el borrado automático de datos para los dispositivos móviles.

Para los ordenadores, Windows tiene BitLocker, PGP Disk y VeraCrypt para el cifrado de todo el disco. MacOS tiene File Vault. Activa el cifrado en todos los dispositivos. Cifra los datos de los discos duros externos y las memorias flash. La maldad no podrá obtener ninguna información aunque consiga nuestros dispositivos.

Sin embargo, si perdemos nuestros dispositivos, nuestro trabajo se verá gravemente afectado aunque la maldad no consiga acceder a la información de los dispositivos. Seguiría siendo una gran pérdida para nosotros. Para evitar este tipo de pérdidas (interrupciones en el trabajo), deberíamos configurar copias de seguridad automáticas y encriptadas de los datos en sitios remotos o servicios en la nube para todos los dispositivos. En caso de pérdida, robo o daño de los dispositivos, podremos restaurar los datos de la copia de seguridad en los dispositivos de sustitución y volver a trabajar rápidamente.

Los ataques de los que hemos hablado hasta ahora son los ataques de la maldad, no los ataques generales de Internet. Solo hemos tocado algunos de los más comunes. Hemos mencionado algunas defensas en concepto. Los detalles de implementación se pueden encontrar a través de más análisis sobre el tema.

Serie completa:

Parte 1

Parte 2

Parte 3

Todo el contenido publicado en este sitio web tiene derecho de autor y pertenece a Minghui.org. Minghui realizará compilaciones de su contenido online de forma regular y/o en ocasiones especiales.