04. MENSAJERÍA: Correo Electrónico y Mensajería Instantánea
Índice
Importancia de las Contraseñas
Buenas prácticas en su Uso
1. Correo Electrónico
Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros.
El incremento y efectividad de la ingeniería social para engañar a los usuarios por medio de correos electrónicos ha modificado el paradigma de la seguridad corporativa.
Actualmente los cortafuegos perimetrales y la securización de los servicios expuestos a Internet no son contramedidas suficientes para proteger una organización de ataques externos.
2. Buenas Prácticas sobre correo electrónico
Algunas recomendaciones para utilizar el correo electrónico de forma segura:
No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier indicio o patrón fuera de lo habitual.
No confiar únicamente en el nombre del remitente. El usuario deberá comprobar que el propio dominio del correo recibido es de confianza. Si un correo procedente de un contacto conocido solicita información inusual contacte con el mismo por teléfono u otra vía de comunicación para corroborar la legitimidad del mismo.
Antes de abrir cualquier fichero descargado desde el correo, hay que asegurarse de la extensión y no fiarse del icono asociado al mismo.
No habilitar las macros de los documentos ofimáticos incluso si el propio fichero así lo solicita.
No hacer clic en ningún enlace que solicite datos personales o bancarios.
Tener siempre actualizado el sistema operativo, las aplicaciones ofimáticas y el navegador (incluyendo los plugins/extensiones instaladas).
Utilizar herramientas de seguridad para mitigar exploits de manera complementaria al software antivirus.
Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido, es recomendable buscar información del mismo en motores de búsqueda como Google o Bing.
Utilizar contraseñas robustas para el acceso al correo electrónico. Las contraseñas deberán ser periódicamente renovadas y si es posible utilizar doble autenticación.
Cifrar los mensajes de correo que contengan información sensible.
3. Mensajería Instantánea
Las aplicaciones de mensajería instantánea permiten enviar mensajes de texto mediante la conexión a Internet (WhatsApp y Telegram son las más conocidas). En el caso de WhatsApp, lanzada al mercado en el año 2009, por ejemplo, gestiona actualmente alrededor de mil millones de mensajes al día.
Se tratan de plataformas que al poder tener un comportamiento semejante al de una red social convencional son propensas a su expansión. Además, el uso compartido de la información personal y la escasa percepción de riesgo que los usuarios tienen con la seguridad las han convertido en un entorno atractivo para intrusos y ciberatacantes que intentan obtener datos e información de sus usuarios.
Uno de los fallos más comunes en las aplicaciones de mensajería es la forma que utilizan para borrar las conversaciones almacenadas en el teléfono ya que no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario siendo accesible por técnicas forenses.
Además, hay que tener en cuenta las implicaciones cuando se tenga activa la opción de copia de seguridad (almacenando una posible conversación ya borrada) que podría ser recuperada en un futuro.
Durante el establecimiento de conexión con los servidores, se puede intercambiar en texto claro información sensible acerca del usuario quedando expuesta a cualquiera en el caso de utilizar redes WiFi públicas o de dudosa procedencia.
Sistema operativo del cliente.
Versión de la aplicación en uso.
Número de teléfono registrado.
Al utilizar una conexión basada en redes privadas virtuales (VPN), todos los datos enviados y recibidos pasan cifrados entre el emisor y el receptor, añadiendo una nueva capa de seguridad para evitar posibles atacantes que estén interceptando el tráfico de red (man-in-the-middle).
Por otro lado, la base de datos de conversaciones, ficheros, mensajes, así como otros datos que manejan este tipo de aplicaciones se almacena de forma local dentro del teléfono, con independencia de que se tenga la opción de “backup” en la nube activada en el dispositivo.
Aunque la información se almacena cifrada en local, existen multitud de aplicaciones20 que por ejemplo para WhatsApp permiten de una forma sencilla el descifrado de la información contenida, tanto en versión local para un equipo, como a través de una aplicación en el teléfono o interfaz web.
Para evitar que un atacante pueda tener acceso a toda la información privada que se almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al terminal.
En el caso de intercambio de datos con redes sociales, como WhatsApp y Facebook, y a pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, otra información como número de teléfono, contactos, hora de última conexión, así como tus hábitos de uso de la aplicación pueden ser compartidos.
4. Buenas Prácticas sobre mensajería instantánea
Insistiendo en las recomendaciones indicadas para dispositivos móviles, será necesario adoptar determinadas precauciones en el uso de aplicaciones de mensajería instantánea como:
Mantener el teléfono bloqueado. De esta forma, se reducirá el riesgo si el dispositivo cae en las manos equivocadas.
Sería recomendable eliminar las previsualizaciones de los mensajes y extremar las medidas cuando no se disponga del teléfono al alcance.
En la medida de lo posible, se recomienda la configuración de las aplicaciones para solo recibir mensajes de personas autorizadas.
Desactivar la conectividad adicional del teléfono cuando no se vaya a utilizar, como podría ser la conexión WiFi o Bluetooth, ya que además de reducir el consumo de batería, reduce la posible superficie de ataque sobre el dispositivo.
Utilizar aplicaciones de mensajería instantánea cuyo código fuente esté abierto a la comunidad y haya sido revisado. En ese sentido existen alternativas que, además, aseguran la confidencialidad en las comunicaciones, cifrando el tráfico extremo a extremo (e2e), un ejemplo es Signal.
Índice
1. Correo Electrónico
Actualmente el correo electrónico sigue siendo una de las herramientas más utilizadas por cualquier entorno corporativo para el intercambio de información a pesar de que en los últimos años han surgido multitud de tecnologías y herramientas colaborativas para facilitar la comunicación y el intercambio de ficheros.
El incremento y efectividad de la ingeniería social para engañar a los usuarios por medio de correos electrónicos ha modificado el paradigma de la seguridad corporativa.
Actualmente los cortafuegos perimetrales y la securización de los servicios expuestos a Internet no son contramedidas suficientes para proteger una organización de ataques externos.
2. Buenas Prácticas sobre correo electrónico
Algunas recomendaciones para utilizar el correo electrónico de forma segura:
3. Mensajería Instantánea
Las aplicaciones de mensajería instantánea permiten enviar mensajes de texto mediante la conexión a Internet (WhatsApp y Telegram son las más conocidas). En el caso de WhatsApp, lanzada al mercado en el año 2009, por ejemplo, gestiona actualmente alrededor de mil millones de mensajes al día.
Se tratan de plataformas que al poder tener un comportamiento semejante al de una red social convencional son propensas a su expansión. Además, el uso compartido de la información personal y la escasa percepción de riesgo que los usuarios tienen con la seguridad las han convertido en un entorno atractivo para intrusos y ciberatacantes que intentan obtener datos e información de sus usuarios.
Uno de los fallos más comunes en las aplicaciones de mensajería es la forma que utilizan para borrar las conversaciones almacenadas en el teléfono ya que no implica la eliminación directa de los mensajes, sino que estos quedan marcados como libres, de tal forma que puedan ser sobrescritos por nuevas conversaciones o datos cuando sea necesario siendo accesible por técnicas forenses.
Además, hay que tener en cuenta las implicaciones cuando se tenga activa la opción de copia de seguridad (almacenando una posible conversación ya borrada) que podría ser recuperada en un futuro.
Durante el establecimiento de conexión con los servidores, se puede intercambiar en texto claro información sensible acerca del usuario quedando expuesta a cualquiera en el caso de utilizar redes WiFi públicas o de dudosa procedencia.
Al utilizar una conexión basada en redes privadas virtuales (VPN), todos los datos enviados y recibidos pasan cifrados entre el emisor y el receptor, añadiendo una nueva capa de seguridad para evitar posibles atacantes que estén interceptando el tráfico de red (man-in-the-middle).
Por otro lado, la base de datos de conversaciones, ficheros, mensajes, así como otros datos que manejan este tipo de aplicaciones se almacena de forma local dentro del teléfono, con independencia de que se tenga la opción de “backup” en la nube activada en el dispositivo.
Aunque la información se almacena cifrada en local, existen multitud de aplicaciones20 que por ejemplo para WhatsApp permiten de una forma sencilla el descifrado de la información contenida, tanto en versión local para un equipo, como a través de una aplicación en el teléfono o interfaz web.
Para evitar que un atacante pueda tener acceso a toda la información privada que se almacena en el teléfono hay que prestar especial atención a qué aplicaciones de terceros se instalan, así como el acceso físico de otra persona al terminal.
En el caso de intercambio de datos con redes sociales, como WhatsApp y Facebook, y a pesar de que los mensajes, fotos e información de perfil no serán objetivos a compartir, otra información como número de teléfono, contactos, hora de última conexión, así como tus hábitos de uso de la aplicación pueden ser compartidos.
4. Buenas Prácticas sobre mensajería instantánea
Insistiendo en las recomendaciones indicadas para dispositivos móviles, será necesario adoptar determinadas precauciones en el uso de aplicaciones de mensajería instantánea como:
-
Add a note