- Entrevista - Las Leyes - Palabras de Ciso - Tips para un Ciso - Punto de Vista
- Hacking bajo la lupa - Estadísticas - Productos - Capacitación - Toolbox - Links de Interés - Lo Sabías? - Hot Vulnerabilities
- E-Fraude - Noticias - Bolsa de Trabajo - Agenda & Eventos - Carta de Lectores - Libro de Pases - El Chiste
ataques capa 3 anonimato fraude bancario privacidad |
Tips para un CISO | NIVEL TÉCNICO  |
| TIPS DE UN E-MAIL SEGUROPor Nancy Vilchez
Security Consultant
I-SEC Information Security Inc |
¿Es ilegal abrir un cajón de un escritorio y leer el informe impreso del Presupuesto del próximo año de una Compañía? En Argentina, como en varios países latinoamericanos, no existe una ley específica sobre la violación de los correos electrónicos. Sin embargo, existe legislación contra la violación de la intimidad de las personas. Incluso ya hubo casos que sentaron jurisprudencia, pero si de leyes hablamos, todavía estamos en la discusión de si el e-mail se considera contacto epistolar. Mientras tanto debemos conocer cómo funciona nuestro correo electrónico y conocer cuáles son sus debilidades.
Más allá de la parte legal, es importante saber cómo hackean mi e-mail. ¿Sabía Usted que dentro de una red privada sólo hay que ejecutar un programa automático de captura de claves para obtener la password que se quiera? Lo mismo ocurre con las conversaciones de Messenger, Skype y VoIP. ¿Sabía que el protocolo que soporta el e-mail para autenticarse transmite la clave sin encriptarla? Las cuentas de correo gratuitas como Hotmail y Gmail suelen ser vulnerables y, en el momento de realizar una investigación judicial, es difícil obtener registros de sus servidores.
¿Usted dejaría las puertas de su casa abiertas de par en par, se iría un mes de vacaciones y pretendería encontrar todo tal cual está?
Con los correos electrónicos ocurre lo mismo, no se trata de dejar las puertas abiertas sino de cerrarlas con llave y candado, ponerle alarmas y esconder los objetos de valor. Lo importante al utilizar este medio, ya sea en casa o en el trabajo, es comprender que nuestro correo puede ser interceptado, y si bien no existe un programa o dispositivo que garantice su protección absoluta, sí existen algunos tips que nos pueden ayudar a complicarle la tarea al atacante: Toda la información confidencial que se envía debe estar encriptada. Si alguien la intercepta o tiene tu correo comprometido sólo verá texto codificado. Existen soluciones como PGP (Pretty Good Privacy) con versiones freeware que no sólo autentican los emisores de los correos sino que también pueden encriptar archivos (inclusive permite codificar el mismo correo electrónico). Si estoy leyendo un correo electrónico desde una computadora que no me brinda certeza, no será conveniente que trate ningún tipo de información sensible (Cybercafés, redes de clientes, en los office de los hoteles). No dejar el correo electrónico posteado en cualquier sitio web, más aún si es el correo de la compañía. A pesar de que cualquier contraseña hoy en día se puede crackear podemos dificultar la tarea al atacante adoptando una contraseña robusta, por ejemplo “¡cl1r2n” que contiene una combinación de letras números y caracteres especiales. Es conveniente cambiar la contraseña después de un cierto tiempo.
Como conclusión deberíamos considerar a los e-mails como un medio sumamente débil. Si quieren comprobarlo sólo tienen que poner “hacking email” en el buscador Google y van a encontrar casi 35 millones de ocurrencias donde te enseñan a hacerlo.
Nancy Vilchez Security Consultant I-SEC Information Security Inc. nancy.vilchez@i-sec.org | |
