La seguridad lógica es el conjunto de medidas destinadas a la protección de los datos y de las aplicaciones informáticas, asi como a garantizar el acceso a la información únicamente a las personas autorizadas.

Algunas de las medidas establecidas en las políticas de seguridad son las siguientes:

• Autenticación de usuarios: acto o proceso de confirmar que algo o alguien es quien dice ser.
• Listas de control de acceso: forma de determinar los permisos de acceso apropiados a un determinado objeto.
• Criptografía: técnicas de cifrado o codificado destinadas a alterar la información de los mensajes con el fin de hacerlos ininteligibles a receptores no autorizados.
• Certificados o firmas digitales: ficheros digitales emitidos por alguna autoridad,que vincula unos datos de verificación de firma a un individuo, de forma que únicamente él puede firmar, y confirmar su identidad.
• Cifrado de unidades de almacenamiento: proteger toda la información de un sistema de almacenamiento mediante el uso de criptografía, evitando la interpretación de esos datos por parte de personas sin autorización.

Las pautas para elegir buenas contraseñas generalmente están diseñadas para hacer que las contraseñas sean más difíciles de descubrir mediante adivinaciones inteligentes. Las pautas comunes defendidas por los defensores de la seguridad del sistema de software incluyen:

• Utilizar una longitud mínima de contraseña de 10 o más caracteres si está permitido.
• Incluir caracteres alfabéticos en minúsculas y mayúsculas, números y símbolos si está permitido.
• Generar contraseñas al azar cuando sea posible.
• Evitar usar la misma contraseña dos veces (por ejemplo, en múltiples cuentas de usuario y/o sistemas de software).
• Evitar la repetición de caracteres, patrones de teclado, palabras del diccionario, secuencias de letras o números.
• Evitar el uso de información que esté o pueda estar asociada públicamente con el usuario o la cuenta, como el nombre de usuario, los nombres de los antepasados o las fechas.
• Evitar el uso de información que los conocidos puedan saber que está asociada con el usuario, como nombres de familiares o mascotas, vínculos románticos e información biográfica (por ejemplo, números de identificación, nombres o fechas de ancestros).
• Evitar contraseñas que consistan totalmente en una combinación simple de los componentes débiles antes mencionados.

Existen diferentes tipos de aplicaciones que nos ayudan a almacenar y recordar contraseñas.

• Navegadores web: normalmente cualquier navegador web incorpora un software gestor de contraseñas. Suele ser un software que almacena las contraseñas cifradas en nuestro equipo y nos ayuda a utilizarlas recordando los sitios web en los que se utilizan. Son programas bastante básicos con pocas opciones de configuración, aunque en ciertos casos gracias a una cuenta de usuario (Google, Firefox, etc) nos permiten utilizarlas en distintos equipos logueandonos en nuestra cuenta.

• Aplicaciones de terceros: Se trata de servicios completos que suelen ofrecerte aplicaciones para diferentes plataformas, y que pueden ser gratuitos o de pago dependiendo de las opciones que estés buscando en ellos. Además de almacenar tus contraseñas, también te enseñan a cuidarlas y gestionarlas. Los gestores de terceros también pueden incluir un sistema para crear automática y aleatoria contraseñas fuertes, así como alertas que te avisan de cuándo tienes contraseñas débiles o excesivamente repetidas en varios servicios. Algunos también tienen sincronización en la nube para poder utilizar estas mismas contraseñas en varios dispositivos. Pueden ser extensiones que se añaden a los navegadores web, o aplicaciones de escritorio.

Los métodos de autenticación de múltiples factores son métodos de control de acceso informático en el que a un usuario se le concede acceso al sistema solo después de que presente dos o más pruebas diferentes de que es quien dice ser.

La autenticación de dos factores, 2FA en inglés (two-factor authentication), es un método que confirma que un usuario es quien dice ser combinando dos componentes diferentes de entre: 1) algo que saben; 2) algo que tienen; y 3) algo que son. Es el método más extendido en la actualidad para acceder a cuentas en servicios web, pero generalmente se solicita que el usuario active voluntariamente esta capa de protección adicional.

Un ejemplo de la vida cotidiana de este tipo de autenticación es la retirada de efectivo de un cajero automático. Solo tras combinar una tarjeta de crédito —algo que el usuario posee— y un pin —algo que el usuario sabe— se permite que la transacción se lleve a cabo. También se suele utilizar una contraseña y un mensaje que recibes en tu teléfono movil.

Un sniffer o analizador de paquetes es un sistema software o hardware que se encarga de interceptar y registrar el tráfico que pasa sobre una red de datos o sobre una parte de ella. La captura de paquetes es el proceso de interceptar los paquetes de información que circulan en la red. Estas aplicaciones analizan cada paquete en un flujo de comunicaciones y permiten decodificarlo, mostrando el valor de los diferentes campos del paquete y analizar su contenido.

Este análisis se puede utilizar pra muchos fines, los cuales incluyen fines ilícitos para obtención de información confidencial por dejemplo de contraseñas, datos personales, bancarios, etc.

Un keylogger es habitualmente un software permite registrar las pulsaciones del teclado que un usuario realiza en un ordenador ó dispositivo móvil a medida que escribe. La información obtenida por un keylogger puede ser almacenada en en algún archivo o enviada directamente a través de la red.

Aunque normalmente se asocian a intrusiones y accesos ilícitos para registrar contraseñas, también se utilizan para control parental, aprender mecanografía, y son usados por cuerpos de seguridad en sus investigaciones. Tienen bastante auge en los dispositivos móviles.

Principalmente podemos clasificarlos dependiendo de si están basados en hardware o en software:

• Hardware: Son dispositivos que se deben conectar entre el teclado y el pc, o esconderlo directamente en el interior del teclado.
• Software: Aplicaciones instaladas habitualmente sin que el usuario del sistema tenga constancia. También se pueden distribuir a través de correos electrónicos de phishing. En el caso de los orientados a dispositivos móviles, suelen incluir una suite de herramientas aparte del keylogger, como puede ser la localización.

Consiste en la manipulación psicológica de las personas a través de las redes para que realicen acciones o divulguen información confidencial. La ingeniería social es un conjunto de técnicas para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados, aprovechando en muchos casos la falta de conocimiento de un usuario, o el exceso de confianza.

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. La fuerza bruta suele combinarse con un ataque de diccionario, en el que se encuentran diferentes palabras para ir probando con ellas.

Estos tipos de ataques, no son rápidos, para una contraseña compleja, puede llegar a tardar siglos (aunque también depende de la capacidad de operación del ordenador que lo ejecute).

La herramienta John The Reaper es una herramienta de seguridad que permite realizar ataques por buerza bruta y diccionario, y es muy usada por administradores para comprobar la seguridad de las contraseñas de sus sistemas.

Un diccionario es un listado de palabras o combinaciones de caracteres que son probados como posibles contraseñas. Los diccionarios son ficheros extensos, pueden estar en varios idiomas y albergan palabras miles de palabras usadas comunmente en contraseñas, u otras contraseñas ya existentes pasa comprobar una tras otra. Las mismas herramientas que son capaces de realizar ataques por fuerza bruta, permiten realizar ataques mediante diccionario.

En el siguiente repositorio hay ejemplos de diccionarios: repositorio de diccionarios.

© 2024 Fernando Valdeón