contraseñas archivos - Blog TECNOideas 2.0

Goodbye passwords

jueves, 09 marzo 2023 por Alfonso Berruezo

El gestor de contraseñas 1Password ya ha decidido sustituirlas por “passkeys” con datos biométricos y criptografía

Decir adiós a las malditas contraseñas que no se recuerdan, que no deben apuntarse en ningún sitio, que son débiles, que deben cambiarse periódicamente, etc. es un sueño para millones de usuarios de las nuevas tecnologías. Pero cada vez está más cerca el fin de las contraseñas tal y como las usamos en la actualidad.

1Password es un gestor de contraseñas desarrollado por la empresa AgileBits Inc., una compañía canadiense especializada en desarrollo de software.
El gestor ha anunciado que a partir de verano dejará de utilizar las contraseñas para centrarse en claves de acceso conocidas con el nombre de passkeys.
Seguramente muchos de vosotros recordaréis que ya os hablamos de ello en octubre del año pasado, cuando nos preguntamos si las passkeys eran ciberseguras y os explicábamos como funcionan. Lo podéis recordar leyendo ESTE ARTÍCULO.

El sistema se basa en una llave maestra capaz de acceder al desbloqueo de las contraseñas y a los datos de usuarios sin claves. Para ello el usuario solo deberá utilizar un autenticador como un smartphone y cuando quiera acceder no escribirá ni la dirección de mail ni un password, sino una clave de acceso que se basará en los datos biométricos, como el reconocimiento facial o la huella dactilar.
Las passkeys, además, utilizan criptografía de clave pública, por lo que se crea una clave de acceso única de forma predeterminada, que se almacena en sus dispositivos y no se comparte nunca.

¡Son resistentes al phishing!

Otra de las ventajas de las passkeys es que son resistentes al phishing y evitan el descifrado.
Resumiendo: para crear passkeys en 1Password el usuario solo deberá usar el “Touch ID” en el caso de ordenadores Mac o una identificación biométrica en un iPhone para crear una cuenta sin contraseñas.
Si el usuario posee un PC de Windows o un nuevo dispositivo, lo que aparecerá es un código QR, que deberá escanearse a través de un dispositivo tipo smartphone que deberá garantizar la identificación biométrica. Así que ya estamos realmente en disposición de decir ¡Goodbye passwords!

Imagen principal: Thomas Breher en Pixabay

Publicado en General, Hazlo tu mismo, Noticias, Privacidad, Seguridad, Tecnología

No Comments

Brecha en el gestor de contraseñas LastPass

jueves, 12 enero 2023 por Alfonso Berruezo

No dejamos de insistir en la conveniencia de trabajar con un gestor de contraseñas. Prácticamente son la única opción de tener el acceso a nuestras fuentes con seguridad. Y también son la única opción contra nuestra desmemoria y sencillez en el momento de escoger contraseñas. Todo lo que no sea trabajar con ellos es aumentar las posibilidades de que sean los ciberdelincuentes los que trabajen… ¡contra nosotros!

También decimos que la seguridad al 100% nunca existe. Por eso queremos hablaros hoy de LastPass, un buen gestor de contraseñas multilingüe que desarrolló la empresa Marvasol Inc. en 2008. Pero este gestor ha estado en boca de muchos en el último trimestre de 2022. Algunos de nuestros clientes nos han preguntado acerca de un incidente de seguridad que LastPass tuvo en agosto. La compañía lo anunció oportunamente, diciendo que “alguien” accedió a su entorno protegido de desarrollo, pero no afectaba a los datos y credenciales guardados por los usuarios de la plataforma.

Contraseñas bien protegidas

LastPass funciona a través de una contraseña maestra, se encripta a nivel local y se sincronizan con los navegadores que lo aceptan, que son prácticamente todos. Además posee un complementador automático de formularios web, que utiliza para la autenticación, generar nuevas altas en sitios web y la contraseña automática.
A todo ello añade una política de empresa de total transparencia. Esa transparencia es lo que motivó que el pasado 22 de diciembre, el CEO de la empresa, Karim Toubba, firmara un comunicado explicando con detalle el resultado de la investigación que abrieron sobre el suceso.
En él reconocen que se robaron códigos fuente e información técnica y que copiaron información de la copia de seguridad. Esta copia tenía datos básicos de las cuentas de los clientes, nombres de empresas y de usuarios finales, direcciones de facturación y de correo electrónico, números de teléfono y las direcciones IP con las que los clientes accedían al servicio de LastPass.

El comunicado explica que no existen evidencias de acceso a datos de ninguna tarjeta de crédito sin cifrar. Eso se debe a que LastPass no almacena números completos de las tarjetas de crédito y no se almacenan en la nube.
En un nuevo apartado titulado ¿Qué deben hacer los clientes de LastPass? Karim Toubba explica algunas ventajas de LastPass. Se exige un mínimo de 12 caracteres para las contraseñas maestras, que usan una implementación más segura de lo normal y otras recomendaciones generales. Todo ello lo podéis leer en ESTE COMUNICADO que se encuentra en la web de la empresa.

¿Qué enseñanza podemos sacar de todo ello?

Lo primero es lo ya sabido: no existe la seguridad al 100%. Pero sí buenas barreras, alternativas y soluciones. Además una empresa seria, como es el caso, ha explicado detenidamente el resultado de su investigación, lo que da credibilidad y seriedad a la empresa. Creemos que la brecha en el gestor de contraseñas LastPass y todo lo que explica su CEO deja bien a las claras que sus barreras han funcionado y difícilmente los delincuentes han podido acceder a los datos finales de sus clientes.

Lo segundo es insistir en que los gestores de contraseñas son seguros y fáciles de usar. O por lo menos son lo más seguro que existe para gestionar al acceso a nuestras fuentes habituales.

Y lo tercero es que nos hagáis un poco más de caso. Nosotros hemos escrito algunos artículos relacionados con las contraseñas. Por ejemplo, con ocasión del Día Mundial de la Contraseña (5 de mayo) publicamos ESTE POST en el que, además, sugeríamos algunos gestores de contraseñas que hemos probado en TECNOideas. Entre ellos estaba LastPass, que seguimos recomendando.

En octubre también os hablamos del futuro de las contraseñas, que, sin duda serán los datos biométricos y las claves criptográficas, lo que se llama genéricamente passkeys. Lo podéis leer AQUÍ.

Todo el mundo puede tener un problema de seguridad. Lo que diferencia a unos de otros es la forma de tratar el problema, la rapidez en la respuesta y las garantías que se ofrecen a los usuarios, proveedores, clientes, etc.
Una buena forma de demostrar esta eficiencia es tener las certificaciones de la seguridad de la información, como la ISO 27001 o el Esquema Nacional de Seguridad (ENS).

Imagen principal: Mohamed Hassan en Pixabay

contraseñas Gestor contraseñas Karim Toubba LastPass Marvasol Inc

Publicado en Ataques / Incidencias, General, Noticias, Productos, Seguridad

No Comments

¿Se puede teletrabajar con 100 millones de ciberamenazas diarias?

lunes, 24 enero 2022 por Alfonso Berruezo

La pandemia con las mutaciones del virus sigue obligándonos a cambiar nuestra forma de trabajar. La polémica se mantiene y ya hay dos formas de enfocar el trabajo en el 2022: las empresas que quieren la presencialidad de sus trabajadores y las que entienden que el teletrabajo ha llegado para quedarse y prefieren una modalidad de trabajo híbrida. Pero a lo que no renuncian ni unas ni otras es a usar la nube.

Poner información sensible en la nube es un error. Hay opciones mucho más seguras, tal y como os explicamos en un artículo hace ya un tiempo. Podéis volver a leerlo AQUÍ. Insistimos en el tema con este otro post del mes de mayo de 2021, titulado ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Pero a pesar de nuestra insistencia, parece que todavía no somos conscientes del trabajo oscuro de los ciberdelincuentes. Los expertos de la empresa Cisco Systems, especializada en equipos de telecomunicaciones, han dado a conocer unos datos que no dejan lugar a dudas:

• Hasta el 60% de las empresas esperan que la mayoría de aplicaciones estén en la nube y un 50% del trabajo operando de forma remota.
• Desde el inicio de la pandemia los intentos de acceso remoto maliciosos han crecido un 240%.
• En septiembre de 2021 los trabajadores híbridos recibieron 100 millones de amenazas diarias en su correo electrónico.

¿Qué técnicas usan los ciberdelincuentes para robar contraseñas?

No nos cansamos de repetir que el correo electrónico es el enemigo público número uno. Ya es peligroso que las empresas apuesten por el teletrabajo sin conocer los sistemas de los hogares de sus trabajadores. Parece que no les importa que se salten su propio perímetro de seguridad. Pero si a esto añadimos la poca formación en ciberseguridad de los teletrabajadores entenderemos que el correo electrónico sea tan peligroso.
Con 100 millones de amenazas diarias en todo el mundo, ¿quién cree que a él o ella no le va afectar? Por eso es conveniente saber las técnicas más usadas por los ciberdelincuentes para robar contraseñas. La compañía de seguridad ESET ha publicado la siguiente lista basada en su experiencia:

• Phishing. A pesar de que ya empieza a ser bastante conocida, sigue siendo una de las más utilizadas. Ya sabéis, los delincuentes se hacen pasar por entidades legítimas y conocidas por los usuarios que no dudan en morder el anzuelo (o sea clicar un enlace o un archivo malicioso). ¡Esa maldita costumbre que tiene el ser humano de hacer lo que no debe!

• Malware. Un programa malicioso aparece en nuestro ordenador en forma de correo, anuncio o incluso visitando sitios webs comprometidos. Los malware son como el virus de la COVID-19, aparecen cuando menos te lo esperas, pueden incluso esconderse detrás de una aplicación móvil y existen tantas variedades como os podáis imaginar. Total, la realidad supera (casi) siempre a la ficción.

• Fuerza bruta. Se calculó que el número de contraseñas que usaba una persona en 2020 aumentó un 25% interanual. Manejar ese volumen de contraseñas no es nada fácil, sobre todo teniendo en cuenta que muy poca gente usa los gestores de contraseñas que existen en el mercado y que solucionan todos nuestros problemas de memoria. Los ciberdelincuentes introducen grandes volúmenes de combinaciones de nombres y contraseñas en un software automatizado y claro, alguna aciertan. Según el gobierno de Canadá, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Así que no os de pereza alguna poner contraseñas complicadas ¡y usar un gestor de contraseñas, por favor!

• Adivinanzas. Como en la misma sociedad, hay delincuentes para todo. Así que no todos son muy sofisticados y tienen la opción de usar complicados sistemas para delinquir. De la misma manera que no todos los delincuentes comunes se dedican a grandes robos de cajas fuertes de bancos, también en el caso de la ciberseguridad hay delincuentes de poca monta. Estos se conforman con cosas tan sencillas como probar las contraseñas más habituales: 1,2,3,4 o escribir la palabra “password”, que ocupa el cuarto puesto de contraseñas usadas. Así que ya estáis siendo un poco más originales.

• Mirar por encima del hombro. Pues sí, no os lo toméis a broma, pero esta técnica está descrita. Vendría a ser la traducción del inglés, shoulder surfing. Esta “técnica” es muy útil en cosas tan cotidianas como escribir el pin de la tarjeta de crédito. Algo que hacemos muy alegremente en el supermercado, en la caja de una tienda de ropa o de cualquier otro comercio, naturalmente sin fijarnos quien está detrás nuestro.
La mejor solución para todo esto es el sentido común, ese tan conocido y que resulta ser el menos común de los sentidos.

Os recordamos también que la solución a todos estos problemas está en nuestras manos. Entre los servicios que presta TECNOideas están también cosas muy sencillas del día a día:
• Destrucción de documentación y soportes digitales,
con sus correspondientes certificados de destrucción.

• Escritorios virtuales seguros, que sustituyen la peligrosidad
de los equipos de vuestra organización.

• Correo, almacenamiento y envío de datos y ficheros encriptados y seguros…
¡Y muchos más que podéis encontrar en nuestra sección SERVICIOS!

Imagen principal: Gerd Altmann en Pixabay

CIBERAMENAZAS Cisco Cisco Systems contraseñas ESET Fuerza Bruta malware Mirar por encima del hombro phishing Shoulder surfing

Publicado en Ataques / Incidencias, General, Malos hábitos, Noticias, Teletrabajo

2 Comments

Nueva versión GuardedBox, y es ya la 2.0

miércoles, 04 noviembre 2020 por cthulhu

Uno de los mayores riesgos en el que ponemos a nuestros sistemas tiene lugar con el envío de información sensible a través de email o mensajería instantánea, pensando que eso es seguro. Craso error. Eso es un peligro público. Por suerte hay softwares que os permiten hacerlo con total seguridad y uno de los mejores, que además es “made in Spain” y gratuito, es GuardedBox. Ahora acaban de presentar la nueva versión GuardedBox, la 2.0.

Pues como nosotros, GuardedBox llega a la versión 2.0, un software para compartir datos sensibles entre usuarios o entre diversas personas de un mismo grupo. Léase también de la misma empresa.
También acarrea nuevo logo, porque ya se sabe, versión nueva, logotipo nuevo. Aquí os lo presentamos.

Para los que no conozcáis todavía GuardedBox, deciros que es un software online, que sirve para almacenar datos y contraseñas, de forma segura y para compartirla entre una persona o un grupo. Nació en abril de este año y un poco después ya os hablamos de él en este mismo blog.

Probamos el sistema y realmente es de uso sencillo y seguro, por lo que nos atrevimos a recomendarlo vivamente. Desde su salida al mercado los responsables de GuardedBox ya empezaron a trabajar en mejorar sus prestaciones. A través de su Twitter llevaban tiempo adelantado las nuevas funcionalidades de esta versión, pero al comprobar el changelog uno se asusta al ver todo lo que han sido capaces de mejorar:

Cambio de contraseña
Secretos de grupo editables
Dispositivos de confianza con 2FC
Secretos offline
Protección contra Rainbow Tables
Cuenta atrás o temporizador de fin de sesión
Y varios más…

Describirlos todos costaría un par de post, pero si queréis saber más, podéis consultar su changelog.
Antes os decíamos que GuardedBox era un software creado en España. La empresa que lo creó y que está detrás de la nueva versión GuardedBox es DinoSec. Se trata de una compañía independiente de seguridad fundada en España en el año 2008. Y sus responsables son Mónica Salas y Raúl Siles, analistas de seguridad y fundadores de DinoSec. La tercera pata de la empresa es Juan José Torres, el creador original de GuardedBox.
Para conocerlos mejor y saber más del producto, TECNOideas los entrevistó. Podéis leer la entrevista AQUÍ.

Si sois de los que trabaja en equipo y pensáis, como nosotros, que enviar contraseñas por WhatsApp, Telegram o email, es caduco y poco seguro, tenéis que usar este software, que además, de momento, es gratuito.

TECNOideas 2.0 ciberseguridad tiene entre sus servicios la consultoría de ciberseguridad, por si su empresa no cuenta con un CISO, o necesita una versión externa. Nosotros usamos varias soluciones en nuestro día a día, y como no las recomendamos, cada una de ellas.

contraseñas datos dinosec guardedbox privacidad seguridad

Publicado en Consultoría, General, Hazlo tu mismo

1 Comment

Guardedbox, un gran servicio para compartir datos críticos.

viernes, 26 junio 2020 por cthulhu

Guardedbox es un producto, que se dio a conocer en abril de este año 2020, que consiste en guardar datos sensibles, y compartirlos con toda seguridad.

Guardedbox

Logins, contraseñas, urls, tarjetas bancarias, podemos introducir lo que se nos ocurra, en campos totalmente personalizables, y con generador de contraseñas.

Se ha ido ampliando desde que salió, mejorando el registro de nuevos usuarios, creando grupos, dejando constancia de la actividad, etc…

Nosotros lo hemos usado desde el primer día que lo dieron a conocer, y lo hemos recomendado a clientes, compañeros, familiares y amigos, ya que con el tema contraseñas se hacen muchas barbaridades.

Es un gran producto, con un gran futuro, que nos encanta. Por eso queremos ayudarles, aunque sea con esta pequeña promo, y una entrevista que les hemos realizado y que publicaremos el viernes.

contraseñas dinosec gestor guardedbox

Publicado en Entrevistas, General, Productos

3 Comments

Servicio Firefox Monitor

viernes, 24 abril 2020 por cthulhu

Firefox Monitor

El artículo de hoy va de autodefensa, de como usar un servicio para monitorizar nuestras cuentas de correo, y ver si están en alguna lista de filtraciones de datos y contraseñas.

Se llama como indica el título Firefox Monitor, y has de tener una cuenta de Firefox (de su servicio Sync por ejemplo), para que dentro de la cuenta se guarden los datos.

¿Y que datos son? Pues las cuentas de correo que tengamos su uso o propiedad (se verifican con un correo y link personalizado), y vayamos añadiendo con el tiempo.

Este servicio coteja las bases de datos de los sitios que van saliendo a la luz, con tus cuentas registradas, y te envía avisos en caso de que se haya vulnerado la seguridad de los sitios y sus datos.

Si hay un aviso de cualquier problema recibiremos un email con los datos filtrados, donde se encontró la filtración, y los pasos para minimizar esta situación.

contraseñas datos filtración firefox Have I Been Pwned monitor

Publicado en Hazlo tu mismo, Privacidad, Seguridad

No Comments

Las 25 contraseñas más usadas en EEUU

sábado, 23 junio 2012 por cthulhu

Y esperamos que no sean a este lado del Atlántico también, porque…. ejem….

microsiervos-logo

password
123456
12345678
1234
qwerty
12345
dragon
pussy
baseball
football
letmein
monkey
696969
abc123
mustang
michael
shadow
master
jennifer
111111
2000
jordan
superman
harley
1234567

Visto en Microsiervos.

contraseñas

Publicado en Números y estadísticas.

No Comments

Contraseñas, hay que seguir insistiendo.

martes, 20 septiembre 2011 por cthulhu

kee pass contraseñas a salvo Siempre se insiste en la importancia de tener una buena política de seguridad en cuanto al tema de las contraseñas, ya sea en el ámbito empresarial, como en el personal. Que sean largas, con simbolos, combinando mayúsculas y minúsculas, números… cuanto más complejas sean, más seguras, y sobre todo, cambiar las que vienen por defecto en cualquier aparato!

Pero todo esto es tedioso, ¿cuantas contraseñas debemos tener registradas? entre diferentes cuentas de correo, bancos, redes sociales, y mil cosas más, la cifra puede ser escalofriante, nuestra mente no da para más, y recurrimos a la de siempre (nuestro nombre/hijo/padres, fecha nacimiento, matrícula del coche, 12345…)

me han robado Pero hay programas que nos ayudan e incluso hacen esta tarea "sucia" por nosotros, como por ejemplo Kee Pass. Almacena usuarios, contraseñas, urls, y toda la info junto con notas, que necesitemos para cualquier servicio, nos genera contraseñas muy seguras, e incluso con ciertos añadidos, con una ligera consulta al programa, y haciendo click en la url antes introducida, nos hará login en el servicio (webs).

Con versión portable, una que se puede instalar en un hosting, y versiones compatibles en mac y linux, que más ¿podemos pedir?. La seguridad tecnológica no es un juego, o no debería serlo.

** Hay más programas, por supuesto, pero este por ser gratuito, con añadidos, multiplataforma, portable, y porque lo llevo usando cuatro años, es el que comento**

contraseñas gratis seguridad software

Publicado en Seguridad

No Comments