Esto es un documento vivo que se actualizará con la mayor frecuencia posible.
Meta: Ayudar con el concientización fundamental sobre la Seguridad de la Información [InfoSec], Seguridad Cibernética [CyberSec] y desarrollo ético.
El conocimiento de seguridad consiste en guias técnicas y de procedimiento que los usuarios poseen con respecto a los protocolos de seguridad informativas, electrónicos y físicos cuando se trata de información.
Los atacantes toman varios caminos para asegurarse de que al menos uno de ellos conduzca a tu información, por lo que intentarán acceder a la información a través de cualquier manera inerna o externa (hardware o software), utilizando técnicas de ingeniería social y reconocimiento de OSINT.
Todos deben familiarizarsen con las siguientes pautas.
HARDWARE
Enrutador de Wi-Fi:
- Cambia el nombre de tu red [SSID]
- No transmitas tu SSID
- Cambia la contraseña de tu enrutador
- No deben auto-conectar a Wi-Fi publico
- Siempre deben usar un VPN cuando usando Wi-Fi publico
Dispositivos Personales:
- No personalice los nombres de los dispositivos –
- “iPhone de Mario”
- “Macbook de Josefina”
- Apague los servicios de seguimiento y etiquetado en telefonos móviles –
- Servicios de localización
- Etiquetado geográfico
- Datos de EXIF
- Siempre bloquee a sus dispositivos personal cuando estan desatendido –
- para que la pantalla y / o el dispositivo no se puedan ver o exponer datos
- para que el dispositivo no sea accesible
SOFTWARE
Navegadores de el Red:
- Asegúrese siempre de que cualquier navegador que utilice se actualice con regularidad
- SI va a instalar complementos, asegúrese de que sean de un proveedor de confianza
- El uso del “modo incógnito” solo impide que el navegador guarde el historial de navegación, las cookies, los datos del sitio o la información ingresada en formularios en esa máquina local
- Intente utilizar navegadores más seguros como TOR, Brave, Firefox o Chromium sin Google
- Utilice siempre una VPN cuando se conecte a sitios web públicos
Red Virtual Privado:
Simplemente teniendo un red privado virtual [VPN] no significa que sea completamente privado o seguro. Debe asegurarse de que la VPN que elija tenga lo siguiente –
- Política segura de registros cero
- Protocolos de cifrado fuertes o de grado militar
- Tecnología Kill-Switch
- Protección contra fugas
- Conexiones simultáneas
ADMINISTRACIÓN DE CONTRASEÑAS
La administración de contraseñas es simplemente un conjunto de principios que utilizan las mejores prácticas para crear y administrar contraseñas de manera eficiente para evitar el acceso no autorizado.
FUERZA
Las recomendaciones para crear una contraseña segura son las siguientes:
- Caracteres en minúscula
- Caracteres en mayúsculas
- Contiene números
- Contiene un carácter especial
- 12 caracteres o más
COMPLEJIDAD
Para fortalecer aún más una contraseña, se recomienda LEETING. Cuando lees una palabra, intercambias letras por símbolos y / o números. Por ejemplo, la palabra “Password” se convertiría en “P@$$w0rd” intercambiando la ‘a’ con ‘@’, la ‘s’ con un ‘$’, la ‘o’ con el número ‘0’, et cétera.
FRASE DE CONTRASEÑA
Por lo tanto, se recomienda tener una contraseña larga, segura y filtrada, pero quién puede recordar una contraseña como ‘m-8HP{E3<.&+J8qS,,T4aJUD'? El uso de una frase de contraseña en su lugar cumpliría con todos los requisitos de solidez y complejidad, pero también sería mucho más fácil de recordar.
‘Garfield99 “no es una contraseña segura en absoluto, incluso si la deja en ‘G@rf!3ld99′, por lo que debe usar una frase de contraseña como’ MyFatCatisOrange!’ sería genial. Leer eso en ‘MyF@tC@t!$0r@ng3!’ lo hace muy seguro y extremadamente fácil de recordar.
PREBUA UN COMPROBADOR DE POTENCIA PARA SU CONTRASEÑA:
Medidor de Contraseña
Mi1Login
Comprobador de Seguridad de la Contraseña
CONSEJOS
- No utilice ninguna información personal que pueda estar directamente vinculada a usted, como:
- Miembros de la familia y / o nombres de mascotas
- Nombres de la escuela y / o el trabajo
- Fechas importantes como cumpleaños y aniversarios
- Direcciones o información de ubicación
- Intente utilizar una frase de contraseña más fácil de recordar en lugar de una contraseña
- Intente no utilizar la misma frase de contraseña para varias cuentas
Puede almacenar contraseñas usando aplicaciones como LastPass, KeePass o un dispositivo de autenticación de hardware como Yubikey.
INFORMACIÓN DE IDENTIFICACIÓN PERSONAL [PII]
La PII puede categorizarse y / o definirse como CUALQUIER información que permita inferir, descubrir o exponer la identidad de una persona.
Número de Seguridad Social | Licencia de Conducir |
Números de Tarjetas de Crédito | Certificado de Nacimiento |
Correos Electrónicos Personales y Comerciales | Números de Pasaportes |
Historia de la Educación | Historial de Trabajo |
Puesto y Título de Trabajo | Información Médica |
Antecedentes Penales | Registros de Puntaje Crediticio |
Nombre de Soltera de la Madre | Historia Genética |
Número de Registro Extranjero | Fecha de Nacimiento |
Etnicidad y Raza | Orientación Sexual |
Direccion de Casa | Información de Género / Pronombres |
Alguna PII se puede utilizar para encontrar otra PII para identificar a las personas. Se pueden analizar datos sensibles y no sensibles y se puede deducir una identidad si se recopila suficiente información.
Este es el tipo de información a la que los atacantes se esfuerzan por acceder.
INGENIERÍA SOCIAL
Básicamente, es una forma no técnica de manipular a las personas para que hagan cosas específicas estratégicamente y / o revelen información confidencial. Ojalá sin la constatación que tienen, con el fin de obtener acceso legítimo y autorizado a personas, lugares y / o datos.
Tipos de Ingeniería Sociales:
Phishing | Shoulder Surfing | PreTexting |
Tailgating | Water Holing | Dumpster Diving |
Estos se pueden clasificar en dos tipos:
- Ingeniería Sociales Cibernéticas
- Correos Electrónicos:
- Phishing Emails [SMSishing, Whaling]
- Spam & Baiting Emails
- Business Email Compromise [BEC]
- Correos Electrónicos:
Seguridad del Correo Electrónico:
Los correos electrónicos se utilizan para difundir malware [como adware, spyware, ransomware] a través de campañas de spam y phishing.
- Habilite el Panel de vista previa para ver el contenido del correo electrónico
- No haga clic para abrir un correo electrónico, simplemente visualícelo en el Panel de vista previa
- Asegúrese de conocer al remitente del correo electrónico
- Pase sobre cualquier vínculo para ver dónde lo llevaría realmente antes de hacer clic:
- Ejemplo: www.CNN.com [<- pase sobre el vínculo sin oprimir]
- Si el remitente es desconocido y / o los enlaces parecen sospechosos, elimine el correo electrónico
- Ingeniería Sociales Físicas
- Tailgating
- Surfear de Hombros
- Suplantación de Identidad
Tenga en cuenta la Seguridad de sus Operaciones [ OpSec] y tu entorno:
- al usar un llavero o una insignia al ingresar ubicaciones
- que nadie esté detrás de ti o que pueda ver las pantallas de tu computadora
- que alguien es quien dice ser a través de su identificación / uniforme
Hay muchas más formas de ingeniería social. Los atacantes utilizarán recursos gratuitos para adquirir conocimientos llamados Open Source Intelligence [OSINT], como las redes sociales para acceder a Social Media Intelligence [SOCMINT], ganarse la confianza de alguien, así como sitios web públicos y comerciales.
Hay cientos de recursos en línea gratuitos que se pueden usar para que OSINT Reconnaissance [Recon] proporcione a un atacante todas las herramientas e información necesarias para obtener acceso no autorizado a ubicaciones, cuentas y datos.
Estos recursos pueden proporcionar a un atacante toda la información necesaria para obtener acceso legítimo a otros recursos o para orientarlos en la dirección correcta. La principal herramienta preventiva sería Common Sense. Sea consciente de su entorno, esté atento a la información que pueda estar publicando y revise la legitimidad de los correos electrónicos y las llamadas telefónicas antes de dar cualquier información personal.
[También puede leer y aprender sobre ingeniería social en Attacks y Glosario.]