Autor: Adolfo Fioranelli
Consultor Independiente de Seguridad Informática, Networking y Tecnología. Adolfo además es uno de los moderadores del Foro de Segu-Info (ForoSI).
¿Cuántas veces queremos que la PC que tenemos en casa sea tan segura como la de la empresa y no sabemos por donde empezar? Muchas veces no solo es utilizada por nosotros, sino también por nuestros hijos pequeños, adolescentes y algún pariente ocasionalmente.
Tenemos guardada en ella fotos familiares, documentos escolares, documentos laborales y un largo etcétera del cual seguramente jamás hicimos un backup!
A lo largo de este artículo intentaremos abarcar los puntos
esenciales para tener una PC hogareña un poco más segura.
Utilizaremos como plataforma de referencia MS Windows XP Service
Pack 2, esperando que los amigos Linuxeros y Mackeros no se lo tomen
a mal.
Verificando versión y Service Pack de nuestro Sistema Operativo
Primero verificaremos que la versión del SO (Sistema Operativo) sea la última disponible. En el escritorio hacemos click con el botón derecho del Mouse, elegimos propiedades y verificamos que es Service Pack 2.
Si esto no es así, bajamos el mismo [1] y actualizamos el SO, siempre verificando que el idioma del Service Pack corresponda con el del sistema que tenemos instalado.
Manteniendo actualizado nuestro sistema
Es importante mantener nuestro sistema actualizado, esto nos
protegerá de las vulnerabilidades conocidas. Para ello podemos
configurar Windows para que busque actualizaciones periódicamente en algún horario en que estemos seguros que la PC estará
encendida y con conexión a Internet.
Recordemos que Microsoft lanza nuevas actualizaciones el segundo
martes de cada mes [2].
Usuarios y Grupos
Tenemos distintos tipos de grupos y usuarios que pertenecen a los mismos.
Nos enfocaremos solo en los siguientes grupos: administradores, invitados y usuarios. El grupo "administradores" posee los máximos privilegios, le siguen "usuarios" y, finalmente los "invitados" son el grupo con menor privilegios.
El usuario administrador tiene el máximo control sobre el sistema por eso debe ser utilizado solamente para realizar tareas administrativas. Nunca debe utilizarse el usuario administrador (ni uno con privilegios de administrador) para navegar por Internet, ya que en caso de un ataque exitoso, quien tome control de nuestra PC tendrá esos privilegios para instalar, borrar, modificar, dar permisos, etc. Este es un error frecuente por el cual nos solemos infectar con virus.
El resto de los usuarios no deberían pertenecer al grupo "administradores", sólo al grupo "usuarios" o "invitados".
Es recomendable también, que el usuario con el cual voy a navegar por Internet pertenezca solo al grupo "invitados" para que en caso de un ataque exitoso, el atacante no pueda modificar nuestro sistema. Este atacante por ejemplo podría ser un virus que intente descargarse desde un sitio dañino.
¿Qué usuarios debería deshabilitar?
Es importante deshabilitar los usuarios por defecto del sistema.
Estos son: "invitado" (el usuario, no el grupo); "Asistente de
ayuda" y "SUPPORT_XXXX" (donde XXXX es un número que varía
dependiendo del equipo); como así también toda cuenta que no se
utilice.
¿Qué usuarios debería crear?
Lo recomendable es tener tantos usuarios como personas utilicen la PC y que cada uno posea una contraseña y adicionalmente un usuario genérico (con privilegios de invitado) para que todos utilicen Internet con este usuario.
Así cada uno puede tener su escritorio, con sus documentos sin interferir con los del otro.
¿Debería utilizar contraseña?
Por supuesto que si! No solo todos los usuarios deben tener una
contraseña, sino que es aconsejable que la misma tenga una longitud
mínima de 6 (seis) caracteres y estar compuesta por letras
(mayúsculas y minúsculas), números y símbolos.
Sería bueno leer "¿Por qué caen nuestras passwords?" [3] para
conocer como generar una buena clave.
Al menos la contraseña del administrador debería tener estas características. Las de los usuarios con menos privilegios es recomendable que combinen dos de estas características como mínimo.
¿Cada cuánto cambio mi contraseña?
Si considero que la misma esta comprometida debería cambiarla de inmediato, sino es una buena costumbre cambiarla cada 45 días. Esta y otras características se pueden forzar por Políticas, pero eso lo veremos en otro ocasión.
Antivirus – Antispyware
Hoy en día, es fundamental elegir un buen antivirus y es deseable
que el mismo posea características de heurística y de antispyware.
Por razones de ética y para no beneficiar ni perjudicar a nadie, no
daré nombres comerciales de estos productos.
Simplemente, al momento de elegir, buscar el que mejor se adapte a
nuestras necesidades y mantenerlo siempre actualizado.
Firewall de Windows / Personal Firewall
El Firewall de Windows deberá estar activado, pero como lo considero demasiado básico y por esto no brinda una protección adecuada, recomiendo utilizar algún "Personal Firewall", hay muchos y muchos de ellos son Gratuitos. Algunos ejemplos son: el Sygate [4], el Kerio [5] y el Zone Alarm [6].
Navegador de Internet (Browser) y navegación Web
Sea cual sea el navegador que utilicen, siempre utilizar la última versión disponible. Personalmente recomiendo no utilizar Internet Explorer ya que posee algunas vulnerabilidades aun no corregidas. En lo posible utilizar Firefox [7], Opera [8] o el que les resulte más cómodo.
Respecto a la navegación, nunca instalar barras, iconitos o screensavers de los que se ofrecen gratuitamente en Internet ya que estos generalmente poseen spyware o adware responsable de espiar nuestras actividades y ralentizar la navegación.
En caso de acceder a banca electrónica, nunca hacerlo desde una PC pública, siempre verificar el "icono con un candado" certificando que realmente estamos entrando al sitio del banco y con un "doble click" verificar los datos del certificado digital asociado.
No acceder a sitios de warez, hack, crack, porno, etc. ya que los mismos pueden contener virus y scripts maliciosos.
Controlar periódicamente los logs del firewall ya que ahí tendremos información tan variada como: donde están navegando nuestros hijos o si hay un troyano intentando conectarse al exterior para enviar nuestros passwords, números de tarjeta de crédito, etc.
Backup (copias de seguridad)
En nuestros discos rígidos tenemos información que en caso de rotura
del disco, virus u otra fatalidad nos harían perderla para siempre.
El medio magnético (CD, DVD) para realizar un backup sale apenas
centavos y la perdida de las fotos familiares o un documento en el
que estamos trabajando puede ser invalorable.
Dependiendo de la cantidad de información a "backupear" y de la cantidad de nueva información que se genere diariamente, en la mayoría de los casos alcanza con realizar backup completo mensualmente (siempre para usuarios hogareños, no en una empresa!!!).
Se puede utilizar el ntbackup incluído en el SO o de forma mas amigable podemos hacerlo con software de grabación de CD (hay muchos), ya sea utilizando la opción de "Backup" de los mismos o haciendo un "CD de Datos" con los documentos que deseamos guardar.
[1] Service Pack 2 para Windows XP
http://www.microsoft.com/downloads/details.aspx?familyid=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A&displaylang=es
[2] Actualizaciones de Microsoft
http://www.segu-info.com.ar/msupdate/msupdate.htm
[3] ¿Por qué caen nuestras passwords?
http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm
[4] Sygate Personal Firewall
http://www.simtel.net/product.download.mirrors.php?id=53687
[5] Kerio Personal Firewall
http://www.kerio.com/
[6] Zone Alarm
http://www.zonealarm.com/store/content/home.jsp
[7] Mozilla FireFox
http://www.mozilla-europe.org/es/products/firefox/
[8] Opera
http://www.opera.com/
Buenos Aires, 23 de junio de 2007