Trucos para un PC más seguro: blindado... desde fuera

En un mundo perfecto, no hablaríamos de seguridad frente al delincuente, pero vivimos en un mundo imperfecto en el que, además, hay accidentes que dañan la integridad de un dispositivo

Trucos para un PC más seguro: blindado... desde fuera

30 enero 2009

Una primera aproximación invita a clasificar la seguridad del hardware en dos grandes grupos, por un lado, como forma de proteger la integridad de los dispositivos, por otro, como forma de proteger el acceso no deseado de otros a los datos o al propio hardware.

Por fortuna, frente a los problemas de seguridad, se dispone de un buen arsenal de medidas de protección y prevención. En la práctica, éstas se muestran muy efectivas, incluso cuando se asumen de un modo más intuitivo que científico.

Estrategias básicas

Las fórmulas básicas para el cuidado del móvil, de la cámara de fotos, de los dispositivos de almacenamiento y del portátil son suficientes para evitar que se rompan o pierdan. Y son una primera línea de defensa frente a intrusiones no deseadas o robos.

El sentido común dicta normas como la de no dejar «abandonados» los dispositivos en lugares públicos, ni prestarlos a extraños, así como de usar fundas de transporte y protección. También existe la probabilidad de que un móvil se caiga o un portátil se moje con el vaso de agua que estaba a su lado en la mesa, incluso existe la posibilidad de perderlo…

Algunos trucos y con­sejos para evitar estas situaciones son:

1. El más obvio es que seas cuidadoso con tu ordenador y tus dispositivos. Usa el sentido común para a velar por su seguridad, como no dejarlos desatendidos en lugares públicos.

2. Si vas a eventos como una Campus Party, recuerda comprar un cable Kensington Lock para tu portátil y otros dispositivos compatibles con estos cables de seguridad que te permitan fijar el equipo a una mesa, columna o anclaje. El precio ronda los 40 euros.

3. Activa la contraseña en el salvapantallas, de modo que, tras volver a la sesión, se pida la autenticación de usuario. De esta manera, evitarás que cotilleen en el equipo en tu ausencia.

4. Haz una copia de seguridad de tus datos regularmente.

Opta por la encriptación

Dentro de este contexto, se engloban iniciativas como TPM (Trusted Platform Module) o los discos duros que encriptan los datos de forma autónoma, como el modelo Seagate 5.400.2 FDE (Full Disk Encryption). TPM especifica la implementación de un chip específico para el almacenamiento de contraseñas, claves o firmas electrónicas de acuerdo con las especificaciones establecidas por los distintos fabricantes adheridos a esta iniciativa.

Sin ir más lejos, la funcionalidad BitLocker de Windows Vista ve aumentada su efectividad si encuentra en el sistema un chip TPM donde almacenar las claves de encriptación para las distintas unidades de almacenamiento protegidas con BitLocker.

La encriptación mediante hardware también se traslada a dispositivos como las llaves USB mediante la integración de un chip donde se almacenan las contraseñas de forma segura, con funcionalidades específicas para evitar que se realicen ataques de tipo Fuerza Bruta sobre los códigos AES de 128 o 256 bits usados de forma generalizada para realizar la codificación de parte o de la totalidad del espacio disponible en las llaves. Fabricantes como Verbatim, Kingston, Sony o SanDisk incluyen en sus catálogos modelos con este tipo de encriptación en el hardware.

Algunos trucos y consejos en el ámbito del cifrado son:

1. La mejor seguridad se consigue a través de dispositivos con encriptación integrada en el hardware. Se evitarán los riesgos de los ataques de tipo Fuerza Bruta. Existen llaves USB que la integran sin que el rendimiento se vea perjudicado. Si necesitas la máxima seguridad también en tu disco duro, modelos como los de la gama FDE de Seagate son la elección adecuada.

2. Asegúrate de que el ordenador que compres tenga integrado un chip TPM si buscas el máximo de seguridad. De este modo, podrás activar medidas de seguridad en tiempo de arranque y antes de que se inicialice el sistema operativo, por lo que será prácticamente imposible que obtengan datos de tu ordenador.

3.Encripta el disco duro mediante las funciones de la BIOS o las del sistema operativo, como BitLocker presente en Windows Vista. Se trata de un proceso tedioso y que supone tener que lidiar con contraseñas o autenticación biométrica, pero permiten blindar el equipo y los datos frente a robos o intrusiones.

4. Si no dispones de hardware específico para la encriptación, existen soluciones de software que permiten codificar la información contenida en archivos, unidades o discos. Una buena propuesta, gratuita es TrueCrypt (www.truecrypt.org).

5.Nunca lleves encima las contraseñas de las unidades encriptadas.

6. Procura que las particiones o los archivos encriptados no se muestren a simple vista.

Métodos de reconocimiento biométrico eficaces

La autenticación usando la información asociada con nuestro cuerpo es otra de las formas de implementar políticas de seguridad robustas. El DNI electrónico, sin ir más lejos, emplea la huella dactilar como sistema de identificación unívoco.

En infinidad de equipos e incluso en periféricos hay lectores de huella dactilar que permiten identificar a los usuarios de un modo unívoco con un porcentaje reducido de errores en el reconocimiento.

Y si se combina con el hardware adecuado, como la integración de chips TPM para que sean éstos los que guarden a buen recaudo los datos biométricos en vez del software, se pueden configurar políticas de autenticación PBA (Pre Boot Authentication) antes incluso de que arranque el sistema operativo. De esta forma, se complica el acceso al hardware y a la información por parte de hackers, ladrones o intrusos.

La huella dactilar no sólo se puede usar para autenticar al usuario, también se emplea para lanzar aplicaciones sin más que deslizar un dedo sobre el lector de huella. Previamente, habrá que haber asignado a cada uno de los dedos una aplicación determinada. Ahora bien, esto es una característica que depende del software del sistema biométrico, del sistema operativo y del usuario.

Algunos trucos y consejos en la parcela biométrica son:

1. Si tienes un lector de huella dactilar en tu portátil, úsalo, pero recuerda que no sólo se puede usar para definir políticas de seguridad y acceso sino que puedes asociar aplicaciones con distintos dedos, de manera que, sin más que poner el dedo correspondiente sobre el lector de huella dactilar, se abran.

2. Puedes usar el sistema biométrico para abrir tu sesión de Windows sin más que pasar el dedo sobre el escáner. Se trata de un proceso más rápido que el de escribir la contraseña.

3. A pesar de que uses el hardware biométrico, establece una contraseña de respaldo. Si no lo haces y se estropea el lector no será evidente acceder a tus datos ni tu equipo.

4.Protege la BIOS del sistema. Si no lo haces, los usuarios avispados pueden entrar en ella y cambiar las opciones de seguridad o establecer otras para chantajearte y obligarte a dárselas.

5. Haz copias de seguridad. Cuanto más frecuentes sean, mejor.

Más allá de la huella dactilar

A pesar del elevado índice de fiabilidad de la huella dactilar, existen más métodos biométricos, como el reconocimiento de la retina. Este sistema es más complejo en su implementación, pero la efectividad es más elevada. El patrón de vasos sanguíneos en el fondo del globo ocular es enrevesado, pero único. Tanto es así que la probabilidad de que dos personas tengan el mismo es prácticamente nula. Eso sí, en caso de que aparezcan cataratas o alguna otras enfermedad ocular, este reconocimiento puede fallar.

El reconocimiento del patrón del iris es similar, pero menos intrusivo, y la probabilidad de que dos personas tengan el mismo es de uno frente a 7x10x9. Ni siquiera el de dos gemelos es igual. Reconocimiento facial, de voz o incluso de la geometría de la mano son otros de los métodos biométricos empleados.

Garantías en los móviles; el caso de BlackBerry

Los dispositivos donde más medidas de seguridad se han implementado es en los teléfonos móviles. A través del IMEI (International Mobile Equipment Identity) y las tarjetas SIM, los terminales son controlables remotamente, de modo que pueden desactivarse en caso de necesidad.

Es más, el IMEI permite a las operadoras crear tres tipos de listas: blancas, negras y grises. Las primeras son las normales, en las que el IMEI no está sujeto a control especial alguno; las negras incluyen dispositivos que no pueden hacer uso de la red de telefonía; y las grises son las que incluyen terminales bajo vigilancia, de modo que se lleva un registro de su actividad en la red.

Estas últimas están sujetas a supervisión legal, garantizando los derechos de los usuarios a su privacidad. Pero, en caso de necesidad, se puede hacer uso de este tipo de listas para llevar un seguimiento de la actividad de los terminales.

En los BlackBerry, la situación es distinta. En este caso, el proveedor de los servicios de correo o movilización de aplicaciones de forma remota puede usar el PIN de identificación de cada dispositivo para inutilizarlo o borrar los datos que puedan comprometer la seguridad de la información en una empresa.

En última instancia, los BlackBerry movilizan correo, contactos, agendas y otros datos de las empresas donde se instala el servidor BES, con lo que el riesgo asociado al robo o pérdida de un dispositivo, hace imprescindible que existan estas medidas de seguridad. Además, se trata de medidas independientes del operador. Es decir, se puede bloquear un dispositivo, pero sin interferir con el estado de actividad de la SIM.

Algunos trucos y consejos para mantener a salvo el teléfono móvil son:

1.Anota el IMEI y tu número de teléfono, así como el del centro de atención donde tengas que dar de baja tu SIM y el IMEI.

2. Pon una denuncia tras un robo. Será necesaria para comenzar cualquier proceso legal.

3. Si tienes un BlackBerry y lo cambias por otro, recuerda que tienes que asociar los datos de tu cuenta de correo móvil con el identificador de tu nuevo terminal, de lo contrario, los correos seguirán llegando al antiguo. Esta operación se realiza desde el panel de control que la operadora pone a tu disposición para gestionar el correo o contactando con el personal IT de la empresa con la que trabajes y en la que esté activo el servicio de correo móvil.

4.No desactives la opción que solicita el PIN tras encender el móvil. Si lo haces, pondrás en bandeja el uso fraudulento de tu móvil.

Las redes inalámbricas

Otro ejemplo de seguridad implementada en el hardware es el de las redes inalámbricas. Si bien se pueden usar en modo abierto, donde cualquiera que vea la SSID identificativa de nuestra red podría conectarse a ella, lo normal es que se usen sistemas de seguridad que eviten que nuestro ancho de banda sea compartido por otros o que nuestros equipos en red sean visibles para otros.

Los métodos convencionales pasan por el uso de la ocultación de la SSID con el fin de que nadie pueda ver el nombre de la red y, por ende, conectarse a ella, o usar encriptación de las comunicaciones mediante WEP (Wired Equivalent Privacy) o WPA/WPA2 (Wi-Fi Protected Access 2).

El primer método es débil y fácilmente hackeable. WPA y WPA2 resultan mucho más seguras y difíciles de romper. En cualquier caso, se trata de medidas de seguridad recomendables a la hora de instalar una red y los proveedores de Internet ya las implementan por defecto.

Algunos trucos y consejos de seguridad en el terreno de las redes son:

1.Usa claves de seguridad de tipo WPA/WPA2. Las de tipo WEP son sumamente frágiles y prácticamente cualquiera puede descifrarlas.

2. Oculta tu SSID. Si lo haces, incluso puedes permitirte el lujo de deshabilitar la seguridad siempre y cuando tengas la precaución de ver si hay equipos sospechosos conectados a tu router inalámbrico. Es relativamente sencillo averiguar la SSID de una red oculta, pero como primera medida es efectiva. Eso sí, para conectar nuevos equipos a la red, deberás acordarte de la clave de memoria.

3. La máxima seguridad se consigue con el filtrado de direcciones MAC, que identifican unívocamente a cada dispositivo de red. Requiere de cierta disciplina y, si necesitas conectar rápidamente un nuevo equipo, es engorroso, porque antes hay que acceder al panel de control de tu router WiFi y definir una regla de filtrado para ese equipo o el dispositivo electrónico que vaya a usarse en la red local.

4. Nunca uses una red abierta de otros. Puede que el que se esté aprovechando de ti sea precisamente la persona que la ha dejado abierta.

Seguridad en los dispositivos de entrada/salida

Uno de los «coladeros» de los equipos lo constituyen los distintos puertos de entrada y salida, como los USB, FireWire o las primitivas unidades de discos. Con una llave USB un hacker experimentado puede hacer maravillas e incluso arrancar el equipo desde esa llave usando un sistema operativo específico, por ejemplo, para montar un servidor de spam local en un portátil conectado a la red.

Existen sistemas para evitar que esta situación suponga un riesgo en todos los casos. El más evidente es el de configurar la BIOS adecuadamente para desactivar los puertos que no deseemos que estén abiertos, modificar el orden de los dispositivos de arranque para evitar que se pueda usar una llave USB o crear una contraseña para impedir que se acceda a la BIOS con impunidad.

Los siguientes trucos y consejos te servirán para proteger los dispositivos de entrada y salida:

1. Para desactivar los puertos USB (y/o los FireWire o incluso puertos IDE o SATA), se puede entrar en la BIOS del sistema (generalmente pulsando F2 o Del durante los primeros instantes tras pulsar el botón de encendido) y, en el menú correspondiente a los dispositivos del sistema o a los de entrada/salida, configurar los puertos como Disable (deshabilitados).

2. En el menú Boot, modifica el orden de inicio para que sea el disco duro que contiene el SO el que se encargue de arrancar en primer lugar y dejar para el final los dispositivos externos.

3.Habilita una contraseña para el acceso a BIOS de modo que nadie pueda acceder a la misma para cambiar la configuración.

Otras medidas de protección

En el contacto cotidiano con distintos dispositivos de hardware, nos encontramos con otras medidas de seguridad implementadas. Sin ir más lejos, las protecciones de zona para películas de DVD, Blu-Ray o juegos de consolas hace que comprar una película o un juego en un país distinto al nuestro pueda suponer no ver la película o jugar con el juego debido a las protecciones de zona implementadas por los fabricantes y las productoras de contenidos.

Por no hablar de la imposibilidad de hacer copias de los contenidos protegidos mediante estos sistemas. Es cierto que casi todo lo que se puede proteger se puede desproteger, pero no siempre es fácil ni rentable. Muchos de los avispados hackers que han roto estas protecciones no se mueven por intereses económicos, sino por la satisfacción del propio ego.

DNI electrónico

Una de las iniciativas más interesantes del momento en lo que a seguridad hardware se refiere es el DNI electrónico. Se trata del mismo documento nacional de identidad de toda la vida, pero le han incorporado un completo sistema de autenticación basada en certificados que permite identificarnos unívocamente frente a sistemas electrónicos de comunicación en Internet y frente a servicios de la administración pública.

El DNI incluye un chip con datos biométricos y administrativos, así como los certificados, de modo que es imposible falsificarlo y usarlo en Internet siempre y cuando el PIN de usuario se mantenga en secreto. Para usarlo, se necesita un lector de tarjetas compatible, así como un sistema operativo donde se pueda instalar dicho lector, de manera que el certificado se pueda usar en las transacciones telemáticas.

Anti-Theft Technology

Intel ha presentado su tecnología ATT (Anti-Theft Technology) que permite hacer un seguimiento completo de un portátil equipado con la tecnología V-Pro y que esté supervisado por algún proveedor de servicios de seguridad como los ofrecidos por Absolute Software (Computrace) o Phoenix Technologies (ConstantSecure).

Fabricantes como Lenovo están interesados en ofrecer a sus clientes este tipo de soluciones con características como: protección basada en BIOS/SW y hardware, PBA (Preboot Authentication) para evitar que haya acceso al sistema a través de software; configuración de contadores de tiempo, de modo que, si el equipo no se comunica con el servidor de seguridad, automáticamente se bloquea; posibilidad de desbloqueo en caso de recuperación del equipo; configuración geográfica (si el equipo sale de una zona determinada con antelación, no funcionará y captura de logs del sistema e incluso de fotografías realizadas con la cámara integrada)...