Protege tu equipo

Cuando compras o formateas un ordenador has de ajustarlo y ponerlo a punto para su uso. Te indicamos paso a paso los principales puntos a tener en cuenta en Windows XP y Vista, para evitar que tu equipo pueda verse afectado por un fallo de seguridad

Protege tu equipo

28 enero 2009

Actualizaciones automáticas

Nada más instalar Windows XP SP2 o Vista, una de las primeras preguntas que nos hará el sistema es si deseamos activar las actualizaciones automáticas. La respuesta, sin duda, deber ser sí. Para ello, en XP acudiremos a Inicio/Panel de control/Actualizaciones automáticas, mientras que en Vista seguiremos la ruta Inicio/Panel de control/Seguridad/Activar o desactivar la actualización automática.

En ambos casos, os recomendamos activar la opción Descargar actualizaciones, pero permitirme elegir si deseo instalarlas. Esto hará que se nos notifique inmediatamente que hay una nueva actualización disponible para el sistema y que seamos nosotros quienes decidamos cuándo instalarla y reiniciar la máquina.

En el caso de los equipos con sistema operativo pirata, activar las actualizaciones suelen desembocar en un persistente mensaje indicandonos nuestra condición de «ilegales». Por ello, a pesar de los riesgos de seguridad que supone, es preferible desactivar este apartado.

Cortafuegos ¿sí o no?

Cuando nos encontramos dentro de una red de empresa o doméstica sin el PC directamente conectado a Internet, esto es, detrás un router con NAT, en realidad no es imprescindible activar el firewall. Salvo que redirijamos los puertos desde el router hacia el PC, no nos llegará ninguna conexión indeseada hacia el PC, por lo que en teoría podríamos mantenerlo desactivado.

Eso sí, si estamos montando un portátil que tendrá en algún momento conexión a Internet directa vía 3G, o que moveremos por diferentes redes WiFi públicas, la cosa cambia radicalmente, siendo imprescindible activarlo para evitar problemas.

A pesar de ello, nuestra recomendación es que siempre activemos el cortafuegos de Windows, fundamentalmente porque también nos avisará de conexiones sospechosas no sólo entrantes, sino sobre todo salientes. Así, si se instala algún tipo de malware, lo normal es que nuestro firewall avise de que algo raro esta pasando.

En el caso de Windows XP, existen mejores soluciones que la incluida en el propio sistema operativo, aunque cumpla su función de manera básica. Para activarlo (siendo ésta casi la única posibilidad que nos brinda), acudiremos a Inicio/Panel de control / Firewall de Windows.

En el caso de Vista la cosa mejora bastante y, aunque en apariencia es similar, en realidad hay mucho más debajo. Para activarlo bajo Vista, acudiremos a Inicio/ Panel de control/Seguridad/Activar o desactivar Firewall de Windows.

En ambos casos, la primera pantalla nos mostrará la opción de activarlo o desativarlo, mientras que la segunda pestaña (Excepciones), nos permitirá dar de alta aquellos programas o puertos que explicitamente autorizaremos a entrar o salir del sistema sin que el cortafuegos los censure.

Ahora bien, si tenemos Windows Vista y queremos tener un control absoluto sobre nuestro cortafuegos, os recomendamos ir a Inicio/Panel de control/Vista clásica/Herramientas administrativas/ Firewall de Windows con seguridad avanzada.

Lo que encontraremos aquí es un entorno mucho más completo desde el que gestionar tanto las reglas específicas de entrada como las salida, o la seguridad específica de cada conexión. Para ver un resumen de todo ello acudiremos a Supervisión/Firewall, donde podremos encontrar un listado rápido con todo lo autorizado del sistema.

Antivirus o Suite de seguridad

Quizá muchos nos tachen de pretenciosos, pero lo cierto es que, si un usuario sabe bien lo que hace y tiene un poco de cuidado, es posible evitar la instalación de un antivirus en el sistema. No podemos olvidar que esta clase de protección es la más pesada para nuestra máquina, que pierde gran cantidad de recursos en gestionar y supervisar todos los procesos que tienen lugar en el PC.

Hablando de rendimiento, las diferencias entre un PC de última generación con Windows Vista que tenga instalada una completa suite de seguridad y otro que no la tenga son apreciables. Y en el caso de PCs más antiguos, las diferencias son todavía más notables.

Para usuarios poco expertos, que gusten de navegar por cualquier página web que se les ponga por delante, descarguen e instalen todos los programas que les llamen la atención o reciban y abran cualquier correo que les manden, la instalación de una suite de seguridad es simplemente indispensable, por su propio bien.

Para personas con mayor nivel de conocimientos, o que hagan un uso del PC más controlado, probablemente será suficiente con un buen antivirus que les proteja ante la eventual entrada en el sistema de un código maligno. Estos últimos ahorrarán algo de dinero y sobre todo recursos de su PC frente a una suite repleta de complementos de seguridad que no necesitan.

Por último, tenemos a los más expertos, que conocen bien el PC y su funcionamiento, y que son especialmente cuidadosos con lo que instalan y por dónde navegan. Esta clase de usuarios podría prescindir perfectamente del antivirus o, como medida de protección básica, instalar uno gratuito (www.free-av.com), que les permita chequear en un momento dado una llave USB no confiable o cualquier archivo sospechoso.

Carpetas compartidas

Mucho cuidado con las carpetas compartidas en red y los permisos de cada una. Conocemos a más de uno que, por comocidad, simplemente comparte todo su disco C:. Incluso en un entorno controlado, como nuestra red doméstica, es una verdadera barbaridad que puede traernos problemas si, por ejemplo, alguien rompe la seguridad de nuestro WiFi.

Por ello, en Windows XP simplemente os recomendamos compartir una carpeta específica para el intercambio de archivos, salvo que estemos en una red controlada, siempre con seguridad activada. Para ello, basta crear una carpeta (por ejemplo en el Escritorio), hacer clic con el botón derecho del ratón sobre ella y pinchar sobre Compartir y seguridad.

Si no tenemos activada la opción Utilizar uso compartido simple de archivos (la última opción de Mi PC/Herramientas/Opciones de carpeta/Ver), sólo se nos pedirá activar la compartición de la carpeta y, si lo deseamos, que cualquier usuario pueda escribir en ella.

El problema es que cualquiera podrá acceder a la misma. En caso de tener esta opción activada, podremos elegir el usuario que tendrá derecho de acceso y, con ello, obligar a que se introduzca el usuario y contraseña correctos ante cualquier acceso.

En Vista esto se halla mejor resuelto. Por defecto, simplemente está desactivada la posibilidad de compartir carpetas. Para cambiar esto, lo más rápido es acceder al Centro de redes y recursos compartidos desde Inicio/Panel de control/Ver el estado y las tareas de red.

Aquí encontramos una opción llamada Uso compartido de archivos, que por defecto aparece como Desactivado. En caso de querer compartir alguna carpeta, tendremos que activarlo primero. Después, crearemos la carpeta y haremos clic con el botón derecho del ratón sobre ella para ir a la opción Compartir. En la nueva ventana que nos aparezca, pincharemos sobre Uso compartido avanzado, para compartir la carpeta en cuestión, elegir su nombre y asignar los permisos adecuados.

Como moraleja, no compartáis más que lo estrictamente necesario y, si tenéis un disco duro en red o NAS como punto de intercambio de ficheros entre diferentes ordenadores de la red, mejor que mejor.

Acceso al PC

Muchas veces al establecer la seguridad, obviamos algo tan tonto como ajustar una contraseña a nuestro usuario y, por supuesto, el usuario administrador. Pues bien, aunque seamos nosotros los únicos que accedamos al ordenador, es muy recomendable contar con una contraseña que impida el arranque automático de Windows y que, de paso, controle los permisos de nuestros ficheros y accesos vía red.

Por ello, es recomendable ajustar una contraseña. Para ello, en Windows XP os aconsejamos ir a Inicio/Panel de control/Herramientas administrativas/Administración de equipos/Usuarios locales y grupos/Usuarios. Aquí veremos nuestro usuario del sistema, al que adjudicaremos una contraseña con sólo hacer clic con el botón derecho del ratón sobre él, y seleccionar la opción Establecer contraseña. En el caso de que tengamos un Windows XP Profesional, haremos lo mismo con el usuario Administrador, para evitar una evidente brecha de seguridad.

En Vista, haremos exactamente lo mismo, yendo a Inicio/Panel del control/Vista clásica/Herramientas administrativas/Administración de equipos/Usuarios y grupos locales/Usuarios. La diferencia es que aquí, por defecto, tendremos el usuario Administrador desactivado.

Una molestia llamada UAC

El User Account Control (UAC) es una característica que por primera vez ha sido incluida en Windows Vista y cuyo principio de funcionamiento ya era un viejo conocido para los usuarios de Linux o Mac OS. El principio es fácil: avisar o controlar que el usuario acceda a funciones avanzadas del sistema para evitar posibles daños si no se sabe lo que se hace.

Además, evita que programas malignos lancen automáticamente modificaciones del sistema sin que se entere el usuario. El problema es que el nivel de paranoia del UAC de Windows Vista llega a ser exasperante, sin aportar más que un molesto cuadro de diálogo que veremos aparecer cada dos por tres.

Por ello, la mayoría de los usuarios opta por desactivarlo desde Inicio/Panel de control/ Vista clásica/Cuentas de usuario/Activiar o desactivar el Control de cuentas de usuario. No nos supondrá un problema de seguridad mayor y sí nos permitirá ajustar hasta lo más nimio del sistema sin un molesto «pepito grillo» que llega a ser realmente molesto.

Navegación Web

Internet Explorer 7, el navegador incluido con Windows Vista no tiene fama de ser una solución especialmente segura a pesar de las grandes mejoras sufridas respecto a la versión 6, integrada en Windows XP. Por ello, nosotros recomendamos instalar en el sistema Firefox 3, e incluso Opera.

Nuestra recomendación es que empleemos habitualmente Firefox para la navegación del día e Internet Explorer para sitios concretos que sean poco compatibles con Firefox (tiendas online, banca electrónica, etc.). Respecto a la seguridad de dichos navegadores, los ajustes que por defecto trae Firefox o Internet Explorer son suficientes para la mayoría de los usuarios, por lo que no será preciso tocarlos salvo casos concretos.

Eso sí, para los paranoicos de la privacidad, os recomendamos no guardar contraseñas y limpiar la cache y datos privados habitualmente. En el caso de Firefox, tenemos un modo realmente cómodo para limpiar esta información: basta pulsar Ctrl + Shift + Supr, o pinchar en Herramientas/Limpiar datos privados.

En todo caso, usemos el navegador que usemos, hay unas recomendaciones básicas: no descarguéis ningún programa o complemento que no hayáis solicitado previamente y, ante cualquier duda o al bajar algún fichero RAR, ZIP o EXE que no provenga de una fuente 100% de confianza, pasad por un antivirus antes de abrirlo (como el FreeAV si no tenéis otro).

Correo electrónico y basura adicional

Llegamos a un punto crítico, y nuestra recomendación es clara: salvo casos donde no sea posible, daros de alta una cuenta gratuita y usad Gmail (www.gmail.com). Si tenéis cuenta con otro proveedor, siempre podéis redirigir los mensajes hacia la cuenta de Gmail o descargarlos automáticamente desde Gmail (Configuración/Cuentas).

Además, si tenéis vuestro propio dominio, podéis trasladarlo a Google Apps, un entorno 100% gratuito donde disfrutaréis de todas las ventajas del sistema de correo de Google, aunque con vuestro propio dominio.

La razón de esta obsesión es doble. Por una parte, Gmail cuenta con uno de los mejores filtros antispam que hemos conocido (y gratis), lo que hace que a nuestro ordenador apenas llegue porquería. Y, por otra, porque el propio Gmail incluye un antivirus que escanea todos los adjuntos antes de dejar descargarlos.

El entorno web sería el más seguro, pues, además de permitirnos consultarlo desde cualquier parte, nos inmuniza ante posibles controles ActiveX o brechas menores de seguridad del cliente de correo. Si aun así queremos usar nuestro Outlook o cliente de siempre, Gmail también nos ofrece el funcionamiento POP3/SMTP (desde Configuración/Reenvío y Correo POP/IMAP).

Para los que por temas profesionales o de otra índole deban usar una cuenta de correo POP3/SMTP con su cliente preferido, la parte fundamental es no abrir adjuntos que no sepamos al 100% que son fiables y contar con un buen filtro antispam, incluso aunque nuestro servidor nos ofrezca ese servicio. Para los usuarios de Outlook 2007, el cliente incluye un buen filtro. Para los que no lo tenga, una opción pasa por el filtro bayesiano SpamBayes (www.spambayes.com), open source y gratuito.

Redes WiFi públicas

Mucho cuidado cuando nos movemos por redes WiFi públicas. Existen muchos hoteles, aeropuertos o salas de reuniones donde las conexiones están abiertas, sin cifrado WEP o WPA, aunque luego nos pidan una contraseña en el navegador web para poder empezar a funcionar.

El resultado es que todas las conexiones que hagamos en este entorno no estarán cifradas y capturar los paquetes será tan simple como tener un sniffer de red y una tarjeta WiFi adecuada. De esta forma, por ejemplo, conocer el usuario y contraseña de las conexiones POP3/SMTP que se autentifican con texto plano (lo más habitual hoy día) será extremadamente simple.

Por eso, dos acciones interesantes: intentar consultar el correo vía Web (que generalmente se hará cifrado) y evitar en lo posible manejar información sensible. En casos en los que esto no sea posible, lo ideal sería crear una VPN en nuestra empresa, que nos permita conectarnos directamente a ella cuando estemos fuera en esta clase de ubicaciones. Así, todos los datos manejados a través del túnel VPN estarán cifrados y serán ilegibles para cualquier sniffer.

Cifrado de datos en Windows Vista

Una interesante característica que encontramos en Windows Vista Ultimate y Enterprise, es BitLocker. Este sistema no es más que un cifrado de unidades o particiones que permiten codificar toda la información contenida en ellas, haciendo imposible que sea accesible desde otro equipo.

Es decir, si nos roban el portátil y tiene sus contraseñas, si desmontan el disco y lo insertan en otra máquina, no podrán acceder a la información codificada. Además, resulta especialmente potente en equipos modernos dotados de un chip de seguridad TPM.

Si manejáis datos importantes y queréis darles el máximo nivel de protección, os instamos a visitar dos direcciones donde podréis encontrar paso a paso cómo activar el TPM en vuestra máquina y poner en funcionamiento BitLocker paso a paso: www.pc-actual.com/consejos/paso/2008/11/10/Alta-seguridad-con-BitLocker y http://www.microsoft.com/spain/technet/windowsvista/library/c61f2a12-8ae6-4957-b031-97b4d762cf31.mspx.

Para los que tengan una versión de Vista sin BitLocker, existen un montón de alternativas en el mercado. Una de ellas es Encrypt My Information (www.pc-safety.com/encinfo.html), que por el módico precio de 59,95 dólares nos permite encriptar unidades, carpetas y ficheros utilizando AES. Lo bueno es que es más sencillo de manejar que BitLocker, y probablemente más flexible, pues no necesitamos tocar las particiones del sistema.

Chat y P2P

Un punto débil de cualquier PC son los programas de mensajería e intercambio de archivos, que al fin y al cabo abren una puerta de nuestro equipo y que en casos muy concretos incluso pueden contener ad-spy-malware. Por ello, lo primero es descargar siempre los instaladores de los sitios oficiales de eMule, Ares, MSN, etc. o, como mucho, de lugares 100% confiables como Softonic.

A partir de ahí, hay que tener presente que vía Messenger se distribuyen infinidad de virus y malware. Por ello, salvo casos en los que estemos 100% seguros de lo que recibimos, rechazad cualquier fichero que os envíen o llegue vía Messenger.

En el caso de los programas P2P, ojo, porque algunos clientes poco conocidos pueden contener código malicioso. Por otra parte, en redes como eMule, Ares, Torrent, etc., se alojan miles de ficheros hoax, o que contienen en muchos casos virus o malware. Por ello, cuando descarguemos cualquier programa por esta vía, antes de descomprimirlo o ejecutarlo, siempre lo chequearemos con un buen y actualizado antivirus.