conciencia de seguridad

For English | Para Ingles

Esto es un documento vivo que se actualizará con la mayor frecuencia posible.

Meta: Ayudar con el concientización fundamental sobre la Seguridad de la Información [InfoSec], Seguridad Cibernética [CyberSec] y desarrollo ético.

El conocimiento de seguridad consiste en guias técnicas y de procedimiento que los usuarios poseen con respecto a los protocolos de seguridad informativas, electrónicos y físicos cuando se trata de información.

Los atacantes toman varios caminos para asegurarse de que al menos uno de ellos conduzca a tu información, por lo que intentarán acceder a la información a través de cualquier manera inerna o externa (hardware o software), utilizando técnicas de ingeniería social y reconocimiento de OSINT.

Todos deben familiarizarsen con las siguientes pautas.

HARDWARE

Enrutador de Wi-Fi:

  • Cambia el nombre de tu red [SSID]
  • No transmitas tu SSID
  • Cambia la contraseña de tu enrutador
  • No deben auto-conectar a Wi-Fi publico
  • Siempre deben usar un VPN cuando usando Wi-Fi publico

Dispositivos Personales:

  • No personalice los nombres de los dispositivos –
    • “iPhone de Mario”
    • “Macbook de Josefina”
  • Apague los servicios de seguimiento y etiquetado en telefonos móviles –
    • Servicios de localización
    • Etiquetado geográfico
    • Datos de EXIF
  • Siempre bloquee a sus dispositivos personal cuando estan desatendido –
    • para que la pantalla y / o el dispositivo no se puedan ver o exponer datos
    • para que el dispositivo no sea accesible

SOFTWARE

Navegadores de el Red:

  • Asegúrese siempre de que cualquier navegador que utilice se actualice con regularidad
  • SI va a instalar complementos, asegúrese de que sean de un proveedor de confianza
  • El uso del “modo incógnito” solo impide que el navegador guarde el historial de navegación, las cookies, los datos del sitio o la información ingresada en formularios en esa máquina local
  • Intente utilizar navegadores más seguros como TOR, Brave, Firefox o Chromium sin Google
  • Utilice siempre una VPN cuando se conecte a sitios web públicos

Red Virtual Privado:

Simplemente teniendo un red privado virtual [VPN] no significa que sea completamente privado o seguro. Debe asegurarse de que la VPN que elija tenga lo siguiente –

  • Política segura de registros cero
  • Protocolos de cifrado fuertes o de grado militar
  • Tecnología Kill-Switch
  • Protección contra fugas
  • Conexiones simultáneas

ADMINISTRACIÓN DE CONTRASEÑAS

La administración de contraseñas es simplemente un conjunto de principios que utilizan las mejores prácticas para crear y administrar contraseñas de manera eficiente para evitar el acceso no autorizado.

FUERZA

Las recomendaciones para crear una contraseña segura son las siguientes:

  • Caracteres en minúscula
  • Caracteres en mayúsculas
  • Contiene números
  • Contiene un carácter especial
  • 12 caracteres o más

COMPLEJIDAD

Para fortalecer aún más una contraseña, se recomienda LEETING. Cuando lees una palabra, intercambias letras por símbolos y / o números. Por ejemplo, la palabra “Password” se convertiría en “P@$$w0rd” intercambiando la ‘a’ con ‘@’, la ‘s’ con un ‘$’, la ‘o’ con el número ‘0’, et cétera.

FRASE DE CONTRASEÑA

Por lo tanto, se recomienda tener una contraseña larga, segura y filtrada, pero quién puede recordar una contraseña como ‘m-8HP{E3<.&+J8qS,,T4aJUD'? El uso de una frase de contraseña en su lugar cumpliría con todos los requisitos de solidez y complejidad, pero también sería mucho más fácil de recordar.

‘Garfield99 “no es una contraseña segura en absoluto, incluso si la deja en ‘G@rf!3ld99′, por lo que debe usar una frase de contraseña como’ MyFatCatisOrange!’ sería genial. Leer eso en ‘MyF@tC@t!$0r@ng3!’ lo hace muy seguro y extremadamente fácil de recordar.

PREBUA UN COMPROBADOR DE POTENCIA PARA SU CONTRASEÑA:
Medidor de Contraseña
Mi1Login
Comprobador de Seguridad de la Contraseña

CONSEJOS

  • No utilice ninguna información personal que pueda estar directamente vinculada a usted, como:
    • Miembros de la familia y / o nombres de mascotas
    • Nombres de la escuela y / o el trabajo
    • Fechas importantes como cumpleaños y aniversarios
    • Direcciones o información de ubicación
  • Intente utilizar una frase de contraseña más fácil de recordar en lugar de una contraseña
  • Intente no utilizar la misma frase de contraseña para varias cuentas

Puede almacenar contraseñas usando aplicaciones como LastPass, KeePass o un dispositivo de autenticación de hardware como Yubikey.


INFORMACIÓN DE IDENTIFICACIÓN PERSONAL [PII]

La PII puede categorizarse y / o definirse como CUALQUIER información que permita inferir, descubrir o exponer la identidad de una persona.

Número de Seguridad SocialLicencia de Conducir
Números de Tarjetas de CréditoCertificado de Nacimiento
Correos Electrónicos Personales y ComercialesNúmeros de Pasaportes
Historia de la EducaciónHistorial de Trabajo
Puesto y Título de TrabajoInformación Médica
Antecedentes PenalesRegistros de Puntaje Crediticio
Nombre de Soltera de la MadreHistoria Genética
Número de Registro ExtranjeroFecha de Nacimiento
Etnicidad y RazaOrientación Sexual
Direccion de CasaInformación de Género / Pronombres

Alguna PII se puede utilizar para encontrar otra PII para identificar a las personas. Se pueden analizar datos sensibles y no sensibles y se puede deducir una identidad si se recopila suficiente información.

Este es el tipo de información a la que los atacantes se esfuerzan por acceder.


INGENIERÍA SOCIAL

Básicamente, es una forma no técnica de manipular a las personas para que hagan cosas específicas estratégicamente y / o revelen información confidencial. Ojalá sin la constatación que tienen, con el fin de obtener acceso legítimo y autorizado a personas, lugares y / o datos.

Tipos de Ingeniería Sociales:

Phishing Shoulder Surfing PreTexting
Tailgating Water Holing Dumpster Diving

Estos se pueden clasificar en dos tipos:

  • Ingeniería Sociales Cibernéticas
    • Correos Electrónicos:
      • Phishing Emails [SMSishing, Whaling]
      • Spam & Baiting Emails
      • Business Email Compromise [BEC]

Seguridad del Correo Electrónico:

Los correos electrónicos se utilizan para difundir malware [como adware, spyware, ransomware] a través de campañas de spam y phishing.

  • Habilite el Panel de vista previa para ver el contenido del correo electrónico
  • No haga clic para abrir un correo electrónico, simplemente visualícelo en el Panel de vista previa
  • Asegúrese de conocer al remitente del correo electrónico
  • Pase sobre cualquier vínculo para ver dónde lo llevaría realmente antes de hacer clic:
  • Si el remitente es desconocido y / o los enlaces parecen sospechosos, elimine el correo electrónico
  • Ingeniería Sociales Físicas
    • Tailgating
    • Surfear de Hombros
    • Suplantación de Identidad

Tenga en cuenta la Seguridad de sus Operaciones [ OpSec] y tu entorno:

  • al usar un llavero o una insignia al ingresar ubicaciones
  • que nadie esté detrás de ti o que pueda ver las pantallas de tu computadora
  • que alguien es quien dice ser a través de su identificación / uniforme

Hay muchas más formas de ingeniería social. Los atacantes utilizarán recursos gratuitos para adquirir conocimientos llamados Open Source Intelligence [OSINT], como las redes sociales para acceder a Social Media Intelligence [SOCMINT], ganarse la confianza de alguien, así como sitios web públicos y comerciales.

Hay cientos de recursos en línea gratuitos que se pueden usar para que OSINT Reconnaissance [Recon] proporcione a un atacante todas las herramientas e información necesarias para obtener acceso no autorizado a ubicaciones, cuentas y datos.

Estos recursos pueden proporcionar a un atacante toda la información necesaria para obtener acceso legítimo a otros recursos o para orientarlos en la dirección correcta. La principal herramienta preventiva sería Common Sense. Sea consciente de su entorno, esté atento a la información que pueda estar publicando y revise la legitimidad de los correos electrónicos y las llamadas telefónicas antes de dar cualquier información personal.

[También puede leer y aprender sobre ingeniería social en Attacks y Glosario.]