Consejos de seguridad de la NSA

Bueno, esta claro que si los consejos vienen de organismos como la NSA nos atraen más y esto simplemente por el hecho de preocuparnos por ello, ya esta bien. Lo interesante es que los consejos de la NSA van más allá del uso de dispositivos/ordenadores sino que también tenemos recomendaciones sobre el teletrabajo, lo que es más que importante.

No son pocos los documentos publicados por la NSA relacionados con la seguridad en Internet, https://www.nsa.gov/Press-Room/Cybersecurity-Advisories-Guidance/

Aquí vamos a entrar principalmente en los que tienen relación con la seguridad en el hogar, que obviamente puede ser extrapolado a una pequeña empresa.



El documento en cuestión se encuentra en: https://media.defense.gov/2023/Feb/22/2003165170/-1/-1/0/CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF



Aquí tenemos el resumen que ya nos muestra muchas de las cosas que conocemos:

  • Mantener actualizados los dispositivos, una de las tareas esenciales tanto para ordenadores como móviles o tablet.
  • Realizar backup de nuestros datos y en el caso de hacer backup a disco duro externo, debe desconectarse del equipo pues sino estamos en riesgo de que en caso de problemas se pierda nuestro backup.
  • En el caso de la configuración wifi de nuestra casa, además de cambiar las contraseñas por defecto que vienen en el router, se recomienda el uso de una red de invitados para los dispositivos que no son de nuestra propiedad y de esta forma aislamos los riesgos de seguridad de dispositivos que nosotros NO controlamos.
  • Además de cambiar la clave y el nombre de la red Wifi, se nos sugiere la activación de WPA3 en la red y en caso de disponer dispositivos obsoletos, emplear WPA2/3 asi los dispositivos menos seguros usarán WPA2 en lugar de WPA3.
  • La posibilidad de segmentar la red, es decir que los dispositivos IoT como cámaras de seguridad y sistemas de regadío, se encuentren en una red separada y con ip´s diferentes. Nuestros router o un Firewall debiera de encargarse de la comunicación hacia esa red.
  • Dispositivos como asistentes de casa no pueden emplear antivirus o antimalware por lo que su protección se debe basar en el bloqueo de acceso a Internet y que puede hacerse con el bloqueo por DNS.
  • Protección de contraseñas, asegurando de se emplean contraseñas complicadas. en los distintos servicios y en lo posible con el segundo factor activado. Los gestores de contraseña son de gran ayuda.
  • Protege tu privacidad bloqueando cámaras y micrófonos que no estan en uso, es importante conocer el alcance de estos dispositivos presentes incluso en juguetes infantiles sin que muchas veces tenga algún sentido.
  • Deshabilitar en el router la opción Plug-n.Play (UPnP) que aunque nos da facilidad para agregar nuevos dispositivos a la red, compromete la seguridad al estar habilitado por defecto.
  • Realizar reboot de los sistemas periódicamente,  durante la noche ¿que sentido tiene mantener puntos de acceso o el propio router funcionando si estamos durmiendo?. Esto incluye los móviles y tablet que por su forma de funcionamiento, pocas veces apagamos.
  • A veces puede resultar beneficioso el uso de redes VPN, incluso en nuestra casa, si sospechamos que algún dispositivo pueda estar comprometido.
  • Evitar el uso de hotspots públicos

Recomendaciones en el entorno online...el sentido común.

En el caso del correo electrónico:

  • No abrir archivos adjuntos o enlaces de correos electrónicos no solicitados
  • Evitar usar mensajes automatizados que permita que desconocidos conozcan su situación, estoy de vacaciones, etc.
  • Nunca abras correos electrónicos que hagan afirmaciones u ofertas extravagantes que sean "demasiado buenas para ser verdad".
  • Mantener los navegadores, al igual que los sistemas operativos actualizados.

En las redes sociales:

  • Evite publicar información, como direcciones, números de teléfono, lugares de trabajo y otra información personal, que se pueda utilizar para atacarle o acosarlo. Algunos estafadores utilizan esta información, junto con los nombres de las mascotas, la primera marca o modelo de coche y las calles en las que has vivido, para averiguar las respuestas a las preguntas de seguridad de la cuenta.  
  • Limita el acceso a tu información a "solo amigos" y verifica cualquier nueva solicitud de amistad fuera de las redes sociales. 
  • Los actores maliciosos pueden usar cuentas suplantadas para consultarte información privilegiada o apuntarte para spearphishing. 

Esto en general aplica a todos los servicios: Revise las políticas y configuraciones de seguridad disponibles en su proveedor de redes sociales trimestralmente o cuando cambien la política de términos de uso del sitio, ya que los valores predeterminados pueden cambiar. Optar por no exponer información personal a los motores de búsqueda. 

Y en relación a la autenticación, extraemos del documento:

  • Habilita una autenticación fuerte en su enrutador. Proteja sus contraseñas de inicio de sesión y tome medidas para minimizar el uso indebido de las opciones de recuperación de contraseñas. 
  • Desactivar las funciones que permiten a los sitios web o programas recordar contraseñas. Utilice un administrador de contraseñas en su lugar. 
  • Muchos sitios en línea utilizan la recuperación de contraseñas o preguntas de desafío. Para evitar que un atacante aproveche la información personal para responder a las preguntas del desafío, considere proporcionar una respuesta falsa a una pregunta basada en hechos, suponiendo que la respuesta sea única y memorable.
  • Utilice la autenticación multifactorial (MFA) siempre que sea posible. Los ejemplos de autenticación multifactorial incluyen el teléfono/correo electrónico de confirmación secundario, las preguntas de seguridad y la identificación basada en la aplicación/dispositivo. Algunas formas de MFA, como la identificación basada en aplicaciones/dispositivos, son más seguras y deben utilizarse sobre métodos menos seguros, como el teléfono/correo electrónico de confirmación. Cuando esté disponible, prefiera usar opciones de MFA resistentes al phishing.

En el caso de los dispositivos mobiles

National Security Agency | Mobile Device Best Practices


Aquí os muestro traducido algunas partes relevantes del documento.

Saludos

Pedro