Las diez leyes inmutables de la seguridad digital

Las diez leyes inmutables de la seguridad digital

Si quieres preservar tu seguridad digital, lo primero que debes hacer es comprender estos principios.

Hace dieciséis años desde que Scott Culp, entonces investigador de seguridad en Microsoft, escribió un artículo titulado "Diez leyes inmutables de la seguridad". Estos lineamientos siguen vigentes, en particular porque nos permiten comprender la manera en la que son creadas las vulnerabilidades más relevantes: estos problemas no derivan de fallas en la forma en que los productos fueron creados, sino más bien de la manera en que funcionan los ordenadores y la forma en que los usuarios se relacionan con ellos.

1: Si un "tipo malo" puede persuadirte de ejecutar su programa en tu ordenador, ya no es más tu ordenador

Cuando ejecutas un programa o aplicación, estás tomando la decisión de entregarle cierto nivel de control sobre tu equipo. Ésta es la razón por la cual es importante no ejecutar jamás un programa que venga de una fuente en la que no confíes. Una simple búsqueda en internet de cualquier cosa que desees descargar (ese último episodio de Juego de Tronos) te llevará a miles de resultados llenos de phishing y malware, y con frecuencia basta simplemente con hacer clic en ellos para entregar el control de tu equipo a un software malintencionado.

2: Si un "tipo malo" puede alterar el sistema operativo de tu ordenador, ya no es más tu ordenador

¿Qué es un sistema operativo? Archivos almacenados en tu equipo que le dicen qué debe hacer. Si alguien más puede cambiar esos archivos, pues tu equipo puede hacer cosas completamente diferentes, como entregar tu información, almacenar tus pulsaciones de teclado, o borrar tus archivos. Ésta es la razón por la cual existen privilegios de administrador, y la razón por la cual no deberías usar una cuenta de administrador para tus actividades cotidianas.

3: Si un "tipo malo" tiene acceso físico a tu ordenador, ya no es tu ordenador

Sin importar que tu ordenador esté protegido con contraseña, hay un millón de maneras increíblemente sencillas de obtener acceso a toda la información contenida en él si tu adversario obtiene acceso físico al dispositivo. Ésta es la razón por la cual tus dispositivos deben estar físicamente protegidos contra un atacante (hay candados y alarmas par portátiles, y en general cifrar tus datos nunca es mala idea).

4: Si permites que un "tipo malo" ejecute contenido activo en tu sitio web, ya no es más tu sitio web

Si tu sitio web ofrece espacios abiertos donde las personas pueden subir archivos, y si esto permite que alguien suba programas que puedan ejecutarse en tu servidor o en el navegador de las personas que visiten el sitio web, esta persona podría obtener control de tus servidores, del almacenamiento de datos o de la red misma, y si hay otros sitios hospedados en la misma infraestructura, esto crearía peligros para ellos también.

5: Las contraseñas débiles derrotan la seguridad fuerte

De nada sirve usar contraseñas en todos tus dispositivos y cuentas en línea, si el "tipo malo" puede hacerse con tu contraseña. Aprender a desarrollar contraseñas complejas es probablemente una de las medidas más esenciales que puedes tomar para preservar tu seguridad digital.

seguridad digital
"Phone security" por Ervins Strauhmanis bajo licencia CC BY 2.0.

6: Un ordenador sólo está seguro en la medida en que su administrador es confiable

Todo ordenador tiene un administrador: alguien con los privilegios suficientes para instalar software, administrar el sistema operativo, añadir nuevos usuarios, etcétera. Esto significa, una persona con control absoluto sobre el ordenador: si el administrador no es confiable, está en capacidad de modificar o revertir cualquier medida de seguridad que hayas tomado, así como de borrar cualquier evidencia de ello. Por ende, sólo debes otorgar privilegios de administrador a personas en las que puedas confiar por completo.

7: Los datos cifrados sólo están tan seguros como la llave de cifrado

En el mismo orden de ideas de las contraseñas débiles, si dejas la llave de tu casa debajo de una maceta en la puerta, no importa qué tan buena sea la cerradura. Tu llave de cifrado debe estar almacenada en algún lugar, y si el lugar donde está almacenada no es un lugar seguro, tus comunicaciones cifradas tampoco lo está. Si tu llave de cifrado es una contraseña, hazla tan fuerte como sea posible, y memorízala.

8: Un antivirus/antimalware desactualizado es sólo ligeramente mejor que ningún antivirus

Todos los días se crea nuevo malware: si la base de datos de malware está desactualizada, no reconocerá el malware más reciente. El malware tiene un tiempo de vida relativamente corto, dado que se esparce precisamente en el tiempo en el que los antivirus aún no pueden detectarlo: es indispensable acortar esa ventana de oportunidad tanto como sea posible, actualizando el software regularmente.

9: El anonimato absoluto no es factible, online u offline

A menos que te mudes a una cueva en medio de la nada. Toda interacción humana implica un intercambio de datos, y si bien puedes protegerte en gran medida (usando anonimizadores, deshabilitando las cookies, navegando a través de Tor), la realidad es que no tienes control sobre la gran mayoría de la información que existe sobre ti en el mundo, y sumar una cantidad suficiente de información para identificarte es extremadamente fácil. Esto es lo mismo que decir que puedes tomar medidas para proteger tu privacidad, en particular si sabes de quién la estás protegiendo, pero si lo que buscas es completo y total anonimato, tendrás que empezar por desconectar el WiFi y mudarte al bosque.

10: La tecnología no es una panacea

No existe tal cosa como la tecnología perfecta, 100% segura. No existe tal cosa como "seguridad perfecta". Si alguien te está vendiendo eso, te está mintiendo (probablemente para hacerte comprar un producto). El primer paso es comprender que la seguridad está compuesta de varios elementos, y que la tecnología es apenas un aspecto de ésta. Tener buenos hábitos, una comprensión amplia del riesgo y un poco de sentido común es tan importante, o incluso más, que tener buen hardware y buen software.
El aspecto más importante de la seguridad digital es comprender cómo funciona el riesgo, y entender estas diez reglas es una buena parte de eso. Léelas de nuevo. Envíaselas a tus amigos y a tu familia: es hora de protegernos, y todos podemos empezar por algún lado.

Fuente: Las diez leyes inmutables de la seguridad digital

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Sample Focus, una sencilla web para descargar muestras de sonidos

Edita todas tus fotografías a la vez gracias al procesado por lotes