Plan Básico
Incluido en todos los alojamientos
En un primer bloc, us presentem un apartat de Preguntes Freqüents, introductòries y generalistes sobre la seguridad en internet, en el lloc web, en WordPress y què cal fer en cas d’atac o infecció.
En un segon bloc, les nostres propostes de Plans de Seguridad (bàsic, professional, corporatiu), tant aplicables als nostres alojamientos, com externs y on cada opció de plan de seguridad, inclou les pròpies prestacions y també afegint les del plan anterior.
. Si teniu qualsevol dubte, conceptual o tècnic, gustosament us atendrem
::: Introducción generalista sobre seguridad a internet
CONTINGUTS
1. LA SEGURIDAD AL MÓN DIGITAL
·······1.1 Quins són els riscos?
·······1.2 Protecció empresarial y de la clientela
·······1.3 Normes bàsiques y bones pràctiques
·······1.4 Política de protecció de dades (externa y interna)
·······1.5 Ciber Seguridad: Inversió o despesa?
2. PROTEGEIX LA TEVA INFORMACIÓ (PERSONAL I IDENTITAT)
·······2.1 Còpies de seguridad
·······2.2 Encriptació. Com fer-la
·······2.3 Suplantació d’identitat (phishing)
·······2.4 Contrasenyes
3. PROTEGEIX ELS ESTRIS DE LA TEVA FEINA
·······3.1 Anàlisi d’equips y plan de seguridad
·······3.2 Antivirus y antiprogramari maliciós
·······3.3 Operacions bancàries
·······3.4 Seguridad pels smartphones
4. PROTEGEIX-TE DINS D’INTERNET
·······4.1 Wi-Fi
·······4.2 Xarxa privada (VPN)
·······4.3 Router
·······4.4 Gestor de continguts (CMS)
·······4.5 Dadesde comerç electrònic
·······4.6 Xarxes socials
·······4.7 Protocols d’actuació
·······5.1 Gran volum de dades: compartir y emmagatzemar
·······5.2 Vulneracions seguridad y privacitat
·······5.3 Denúncies
Actualment les riscos més freqüents exposats al nostre negoci/activitat són:
• Malware
Programari maliciós que invaeix, danya o desactiva equips, pot robar, xifrar, esborrar dades y alterar/segrestar funcions bàsiques del dispositiu, així com espiar-nos.
És un terme ampli que inclou:
·· Virus, un segment de línia de codi que altera el funcionament normal de l’ordinador, sense el permís o el coneixement de la persona usuària.
·· Troians, que simulen ser un programari legítim innocu que s’introdueix en un programa ja existent al sistema, per tal d’enganyar la persona usuària y obrir la porta a altres tipus de malware que infectin l’ordinador.
·· Spyware, que té com a objectiu espiar les persones usuàries y guardar les seves contrasenyes, dadesde targetes de crèdit, dades personals y patrons de comportament en línia (exemple: registra les pulsacions del teclat de l’ordinador), per enviar aquesta informació al delinqüent.
·· Cucs, que ataquen xarxes senceres de dispositius saltant d’un ordinador a un altre amb l’objectiu de propagar y afectar el major nombre de dispositius possible. Creen còpies de si mateixos a l’ordinador afectat, que distribueixen posteriorment a través de diferents mitjans, com el correo electrònic, missatgeria instantània o continguts amb temes que criden l’atenció com ara sexe, personatges famosos, temes d’actualitat o programari pirata.
·· Ransomware, que segresta arxius, els xifra y exigeix diners a la víctima a canvi d’una clau de desxifrat, que sovint no funciona.
·· Adware, que inunda les pantalles de les víctimes d’anuncis no desitjats y crea vulnerabilitats de seguridad perquè es pugui introduir una altra classe de malware sense adonar-nos-en.
• Phishing
Tècnica molt estesa que es basa en la suplantació d’identitat d’una marca o entitat amb reputació, com pot ser algun organisme oficial o empresa coneguda o banc, per tal d’adquirir informació compromesa.
Habitualment, es presenta sota la forma de correo electrònic, però també a través de missatgeria (SMS, Whatsapp) y trucadesde veu. En tots els casos, es demana que la persona usuària confirmi o doni dades generalment relacionades amb comptes bancaris, targetes de crèdit o números d’assegurança i, sovint, sota l’amenaça de cancel·lar els serveis en un temps determinat, si no es fa.
En general, les amenaces digitals són més freqüents y exitoses contra els més vulnerables, petits negocis, més fàcils d’infiltrar, rastrejar y amenaçar, que les grans corporacions.
Si patim algun ciberatac a la nostra empresa, podem perdre gran quantitat d’informació y documents si no tenim al dia les nostres còpies de seguridad y a banda, deixem totalment exposades tant les nostres dades com les de la nostra clientela. Tenim una responsabilitat tan ètica com legal de custodiar correctament aquestes dades.
Les següentes propostes, especialment dirigides a persones autònomes, petites y mitjanes empreses, així com la seva plantilla, són aplicables en qualsevol dels mitjans o dispositius digitals que involucren la nostra empresa, com:
• El BYOD (Bring Your Own Device), tots els dispositius a través del quals nosaltres o el nostre personal accedeix a informació de l’empresa: ordinadors, tauletes o telèfons mòbils, tan particulars com corporatius.
• Cloud computing y big data, l’emmagatzematge y gestió de dades, tant al núvol com en local.
• Internet de les coses, com ara els rellotges intel·ligents, la bitlletera electrònica…
• Aplicacions mòbils.
• Les múltiples identitats digitals en xarxes socials.
Normes bàsiques
• Instal·lar un programari de seguridad.
• Fer còpies de seguridad diàries de tots els documents.
• Mantenir el correo electrònic net y utilitzar filtres de correo brossa.
• Utilitzar contrasenyes complexes y canviar-les regularment.
• Mantenir al dia els sistemes operatius dels dispositius relacionats amb l’empresa amb les darreres actualitzacions, així com la pàgina web.
• Entendre y tenir present com actuen les nostres empreses interlocutores que tracten amb dades vulnerables. És més fàcil detectar una comunicació potencialment perillosa si sabem com es comporten determinades interlocutores, per exemple: correos, bancs, empreses de missatgeria, etc. Per exemple, sabem que el banc mai ens demanarà el codi PIN en un correo electrònic, si detectem faltes d’ortografia o logos antics o pixelats, és altament possible que aquella comunicació es tracti d’un frau. En cas de dubte, no obriu les comunicacions.
• Verificar l’origen de les comunicacions que rebem. • No accedir a llocs web o aplicacions amb informació delicada, com ara bancs, a través d’una xarxa Wi-Fi pública.
• Vulnerabilitats off-line: no escriure els codis PIN, cal firmar les targetes de crèdit y dèbit, revisar els comptes bancaris periòdicament, triturar els documents confidencials no necessaris.
• Crear una cultura de la seguridad amb les persones treballadores. Proporcionar criteris clars y normes per a la seguridad preventiva y protecció de dades en tots els processos de l’empresa, y impulsar formacions sobre el tema.
A partir del 25 de maig del 2018 es va instaurar a Europa una normativa de protecció de dades que afecta a totes les empreses. Aquesta llei exigeix documentar com actua la nostra empresa internament a l’hora de recollir, processar y emmagatzemar dades, així com quines mesures de seguridad prenem per prevenir fallidesde seguridad. Aquesta llei parteix de la premissa que les dades personals que recollim de la nostra clientela representen a persones reals i, si es fa un ús indegut de les dades, pot tenir un impacte negatiu en les seves vides. Per tant fa responsable a les empreses de la seva seguridad en el tractament y custòdia. En cas d’incompliment, les sancions poden ser quantioses.
Amb la normativa europea de protecció de dades (GDPR), a partir del 25 de maig del 2018, estableix que totes les dades que recollim han de ser amb consentiment, informant de per què les farem servir y usant-les exclusivament per allò que hem comunicat que les farem servir. A més de tot això, hem d’emmagatzemar les dades per un temps limitat i, a l’hora de tractar-les, hem de garantir la seguridad en el procés.
La llei GDPR implica:
• Documentar com es compleix la RGPD
L’Autoritat Catalana de Protecció de Dades ha desenvolupat una aplicació per crear, mantenir y gestionar el registre de les activitats de tractament: https://apdcat.gencat.cat/ca/documentacio/programari/aplicacio-per-gestionar-el-registre-de-les-activitats-de-tractament/
• Anàlisi de riscos
Cal analitzar quin tipus de dades tenim, d’on les hem obtingut, el nombre de persones usuàries que involucren y la quantitat y varietat de dades que la nostra empresa està tractant. Després, cal classificar aquestes dades en funció de l’impacte que tindria per a les persones usuàries, si hi hagués una bretxa de seguridad y aquestes dades es veiessin exposades. L’Autoritat Catalana de Protecció de Dades ens ofereix: https://apdcat.gencat.cat/ca/documentacio/programari/aipd-programari/
• Mesures de seguridad a adoptar en funció del risc.
• Fallidesde seguridad
En el cas que totes les mesures de seguridad hagin fallat, hem de notificar la bretxa de seguridad a l’Agència Espanyola de Protecció de Dades (AGPD) en un termini sempre inferior a 72 hores, que ens ofereix, la Guía para la gestión y notificación de brechas de seguridad
En general en l’àmbit de la ciber seguridad, costa entendre, si no s’ha patit un atac, el haver de pagar per quelcom que no ha succeit -no pasa en altres àmbits com en l’assegurança del cotxe, de la llar, de vida, etc-.
Compensa la inversió?
• El cost dels ciber-atacs sempre superen als de la inversió. El cost mig de les grans empreses és de 500.000 €, mentre que les PYMES malgrat el cost és inferior, solen desapareix al voltant de 6 mesos després de l’atac. Fins ara, 100.000 € és el cost mitjà que pot produir-se per a una PYME, en cas de ransomware.
• Proporcionalment al nombre d’atacs, la principal motivació es econòmica y el 48% de forats de seguridad involucren a PYMES.
• Per assolir una política completa y adient en ciber seguridad, és necessari recorrer a una empresa especialitzada y de reconegut prestigi. Les solucions que us podem aportar en el nostre cas, van adreçades a a PYMES y especialment a les que fan ús d’un web sota WordPress.
Un backup o còpia de seguridad es refereix al procés de còpia y emmagatzematge de dadesde qualsevol dispositiu digital, ja sigui un ordinador, tauleta o mòbil. Són vitals per a la recuperació d’un desastre (ciberatac, errors de maquinari, col·lapse de disc, etc).
Com cal fer la còpia?
· Emmagatzemar les còpies de seguridad en llocs diferents
És recomanable disposar de còpies de seguridad tant en l’àmbit local, com en servidors en altres llocs o al núvol. Totes les opcions es poden fer de manera manual, a través d’USB o en memòries externes y programaris específics. Nosaltres un oferim còpies de l’entorn web (lloc web y correo) diàries fins a 30 dies.
En cas d’optar per contractar els serveis d’una empresa proveïdora, per tal d’ampliar la còpia a la pròpia instal·lació local (servidor y clients de l’organització), us recomanen el nostre partner expert en còpies en remot d’àmbit d’àmbit local (empresarial y a particulars), https://agoobackup.es, tant en cloud de google com de microsoft. Ofereixen auto-gestió remota dels servei en l’àrea de client.
· Seleccionar quina informació és rellevant o no
És probable que no calgui fer una còpia de tots y cadascun dels fitxers. En el nostre cas, fem còpies totals de tot allò que hi ha en el vostre alojamiento (web, fitxers del lloc y correo).
· Automatitzar les còpies
El millor és confiar en algun dels programaris per establir la periodicitat o automatitzar les còpies de seguridad. Us oferim còpies automatitzades diàries (30 dies).
· Calendari
La periodicitat mínima general recomanada per fer còpies de seguridad seria un cop a la setmana. En el nostre cas portem a terme còpies diàries automatitzades, durant 30 dies.
· Encriptar les dades que considerem més rellevants
Cal una encriptació de les dades, especialment aquells arxius amb informació sensible, punt clau per complir amb la GDPR.
· Comprovar les còpies de seguridad
És vital comprovar de tant en tant que les còpies de seguridad que anem fent són correctes.
· Fer còpies de tots els dispositius
Recordar fer backups no només de l’ordinador, sinó també dels mòbils y tauletes, per tal de no perdre contactes, agenda, llistes de tasques, etc.
L’encriptació de dades és un procediment mitjançant el qual els arxius, o qualsevol tipus de document, es tornen completament il·legibles gràcies a un algoritme que desordena els seus components. Així, qualsevol persona que no disposi de les claus correctes no podrà accedir a la informació que conté.
Gran part de la informació que enviem per internet ja està encriptada, gràcies als protocols HTTPS, però què passa amb la informació que tenim emmagatzemada als nostres dispositius? És segura?
Pel que fa als ordinadors, una de les dades més sensibles que podem tenir a la nostra empresa són els noms d’usuaris y contrasenyes (credencials). És la nostra responsabilitat procedir a encriptar aquesta informació y la resta de dades que puguin ser compromeses en el cas de robatori o pèrdua. Alguns programaris poden ser: BitLocker per a entorns de Windows y FileVault per a entorns de Mac.
Cal apuntar que en els cas dels mòbils, les empreses proveïdores de sistemes operatius mòbils han desenvolupat diferents funcions de xifrat disponibles per a totes les persones usuàries. La informació important es guarda en format xifrat y es desxifra cada vegada que la persona usuària introdueix el PIN de desbloqueig. Així que, pel que fa a les dades que emmagatzemem als
nostres dispositius mòbils en principi, ho tenim bastant cobert.
Com podem encriptar les nostres dades?
La majoria de programaris per fer còpies de seguridad inclouen l’opció d’encriptació de les dades. Si hem decidit fer les còpies de seguridad de manera manual, podem emprar alguns softwares per encriptar les dades. En els sistemes operatius relativament actuals, inclouen programari d’encriptació (Windows: BitLocker y Mac: FileVault); si no en disposem, podem recórrer a altres
programaris com: AESCrypt, AxCrypt o 7-Zip.
El phishing és un frau de suplantació d’identitat que es fa per correo electrònic, missatgeria instantània, SMS o fins y tot trucada telefònica, on es demanen a les persones usuàries dades com ara targetes de crèdit, claus bancàries o altre tipus d’informació altament compromesa.
Per justificar la necessitat d’aquestes sol·licituds de dades, recorren a tot tipus d’arguments:
· Problemes de caràcter tècnic
· Deteccions recents de fraus
· Noves recomanacions de seguridad
· Canvis en la política de seguridad de l’entitat, etc
Tipus
· Per email: per capturar informació rellevant i/o descarregar mailware, normalment via enllaç.
· SMSishing: similar al d’email. Demana fer clic a un enllaç o trucada telefònica.
· De llança: Utilitza els mateixos mètodes que les estafes anteriors, però es dirigeix a una persona o entitat específica.
· Whaling: Semblant al phishing de llança, la cacera de balenes també es dirigeix a una persona o organització, amb molt per perdre, com ara amb un càrrec a la directiva, celebritats, personatges públics o persones vinculades a la política.
Com podem prevenir un atac de phishing?
• Comprovar desde quin correo electrònic s’envia en realitat: dadesde l’emissor (email descriptiu és diferent de l’email que fa realment l’enviament).
• Assegurant-nos bé de quina empresa proveïdora hi ha al darrere, per entreveure si es tracta d’una imitació.
• Comprovar que la URL no redirigeixi a un altre lloc.
• Les entitats bancàries sempre diuen que no demanaran mai el PIN d’una targeta a una persona usuària.
• Revisa l’ortografia y la gramàtica, sovint els correos electrònics o missatges tenen incorreccions.
• Analitzar el missatge, per veure si fa servir tàctiques de la por o és massa bo per ser de veritat.
• Evitar clicar a enllaços dels quals no tinguem la seguridad que són autèntics.
Què hem de fer, si la nostra empresa és víctima d’un atac de phishing?
1. Canviar les claus d’accés de la informació més sensible o vulnerable el més aviat possible.
2. Revisar el correo electrònic y assegurar-nos que no tenim correos d’inicis de sessió en altres dispositius o elements nous a la paperera.
3. En els gestors de correo com ara Outlook o Gmail, hi ha una opció disponible a habilitar que es diu “Denunciar suplantació de la identitat”.
4. Bloquejar la nostra targeta bancària y comprovar amb l’entitat financera que no s’hagi realitzat cap càrrec fraudulent al nostre compte.
5. Denunciar el cas a les autoritats competents. En el cas de l’Estat espanyol, a l’Institut Nacional de Ciberseguridad (INCIBE).
La gestió correcta de contrasenyes en la política de seguridad es vital.
Propostes per fer-les el més invulnerables possible y utilitzar un gestor de contrasenyes per recordar-les:
• No fer servir la mateixa contrasenya en tots els serveis o eines.
• Que sigui d’una extensió mínima de 8 caràcters, però el recomanable seria de 12 caràcters.
• Que combini lletres y números, majúscules y minúscules, amb algun símbol.
• Evitar escriure-la o guardar-la a la cartera.
• Procurar fer contrasenyes basades en paraules sense connexió.
• Canviar-la cada sis mesos.
Cal que tinguem un control de tots (tauletes, mòbils, portàtils o USB) els elements tecnològics que accedeixen a les nostres dades digitals y que prenguem mesures per protegir-los.
Com puc protegir els dispositius tecnològics?
1. Fer una llista de tots els aparells emprats per totes les persones treballadores.
2. Anotar-ne el número d’identificació IMEI, per tal que l’operadora y els cossos de seguridad puguin localitzar-los y bloquejar-los en cas de robatori o pèrdues.
3. Definir unes polítiques d’ús y dur a termes accions formatives.
4. Emprar una contrasenya forta de més de quatre dígits.
5. Instal·lar barreres antimalware, la majoria d’antivirus per a ordinadors tenen format d’aplicació mòbil gratuïta.
6. Desactivar les notificacions, quan la pantalla està bloquejada, y les sincronitzacions amb altres servidors externs.
7. Tenir instal·lat el menor nombre d’aplicacions possible.
També convé definir un plan de ciberseguridad perquè tots els membres de l’empresa tinguin coneixement de com procedir a l’hora de protegir-se y en cas de vulneració.
El document del plan de ciberseguridad hauria de contemplar:
• Accés: de quina manera es protegeixen els controls d’accés en plataformes digitals, per exemple: com es gestionen les contrasenyes.
• Informació: classificació y manipulació de la informació.
• Seguridad: consells per a la seguridad física y ambiental.
• Ús: ús adequat d’actius, programes o empreses proveïdores.
• Transferències: com actuar en la transferència d’informació, per exemple, en el cas de discs durs o USB.
• Dispositius: consells en l’ús de dispositius mòbils, portàtils o tauletes a la feina.
• Restriccions: restriccions d’ús y instal·lació de programari.
• Backups: la política de còpies de seguridad que s’utilitza.
• Antimalware: protecció de programari maliciós.
• Vulneracions: gestió de vulnerabilitats, informació de riscos.
• Incidents: gestió d’incidents de ciberseguridad, informació dels passos a seguir en cas de vulneració.
• Continuïtat: plan de continuïtat del negoci que expliqui com es recuperaran les dades, en cas de crisi.
• Formació: formació y conscienciació en ciberseguridad.
El malware és el programari que intenta envair, danyar o desactivar ordinadors, sistemes informàtics, xarxes, tauletes y dispositius mòbils. Pot robar, xifrar o esborrar les nostres dades, alterar o segrestar funcions bàsiques dels nostres aparells tecnològics y espiar-nos.
La millor defensa és la prevenció, és a dir, no fer ús de pàgines web no segures, no fer clic a enllaços sospitosos -aconsegueix enganyar fins y tot a usuaris força experimentats-.
També és convenient: instal·lar un antivirus en tots els nostres dispositius, actualitzar tot el programari -especialment l’antivirus/antimalware- y instal·lar un firewall que protegeixi l’entrada y sortida de dades.
Tipus:
A hores d’ara, els que més podríem destacar són:
• Adware: diseñoat per mostrar anuncis a la pantalla, normalment en un navegador. Per instal·lar-lo, o bé es fa passar per legítim o bé s’adossa a un altre programa per enganyar a la persona usuària.
• Spyware: observa les activitats dels usuaris y usuàries en secret, sense permís y les comunica a la persona autora del programari.
• Virus: malware que s’adjunta a un altre programa i, quan s’executa, es replica modificant altres programes de l’ordinador, infectant-los.
• Cucs: similar als virus, que es repliquen per si sols, per tal de disseminar per altres ordinadors en una xarxa provocant, normalment, danys y destruint dades y arxius.
• Troià: força perillosos. Normalment es presenta com alguna cosa útil per enganyar a la persona usuària. Una vegada que entra en el sistema, les persones atacants que s’oculten darrere del troià obtenen accés no autoritzat al dispositiu infectat. Solen robar informació financera o instal·lar altres amenaces com virus y ransomware.
• Ransomware: bloqueja l’accés de la persona usuària al dispositiu o xifra els seus arxius y demana un rescat per retornar-los. Atac molt popular en la ciberdelinqüència, perquè exigeix un pagament ràpid y que us cop fet el pagament, en la majoria de casos, no desencripten res.
• MITM (Man-In-The-Middle): intercepten comunicacions o les alteren, amb l’objectiu d’instal·lar programari maliciós, generalment a través de la tècnica del phishing.
També trobem altres malwares com ara el rootkit, el keylogger, el cryptojacking o els exploits. Recordem que el malware està en constant evolució y cal estar al dia.
En l’internet banking, les dades que es tracten són particularment sensibles y objecte de molts ciberatacs.
Alguns consells per utilitzar-les de manera segura són:
• No revelar mai les nostres claus.
• No donar ni fotografiar les dades bancàries o números de targetes de crèdit per WhatsApp, Telegram o correo.
• Accedir desde xarxes y terminals segurs.
• No guardar dades confidencials.
• Teclejar sempre la pàgina web del banc.
• Comprovar que la pàgina té un cadenat.
• Controlar els comptes de manera regular.
• Tancar la sessió.
• Desactivar l’accés de Bluetooth.
• Utilitzar l’aplicació mòbil del banc, sovint més segura que la de la pàgina web.
• Anar amb precaució amb el phishing.
Normativa:
El 14 de setembre de 2019 va entrar en vigor una llei europea (PSD2) que concerneix els pagaments digitals. Els usuaria hauran d’emprar diferents accessos per confirmar les seves accions a través de la banca online, com poden ser el DNI, la clau d’accés o un codi de confirmació enviat per SMS.
En contra del que habitualment es creu, els telèfons intel·ligents són especialment vulnerables als ciberatacs, potser fins y tot més que els ordinadors. Així doncs, cal prendre mesures de seguridad com ara descarregar-se aplicacions oficials, gestionar bé els permisos, vigilar l’accés a xarxes Wi-Fi públiques, instal·lar un antivirus, mantenir el sistema operatiu actualitzat o fer còpies de seguridad sovint, entre d’altres.
Els atacs habituals solen ser anàlogament als dels ordinadors, troians (a la banca mòbil: tot y que l’aplicació del banc és més segura que la pàgina web, igualment s’han detectat casos y tamble a la banda dels SMS), ransomware, spyware (fonamentalment extracció de dades) y darrerament, stalkerware (espionatge complet y registre en un servidor de tota l’activitat del mòbil) y el juicejacking (l’ús de ports USB per carregar la bateria dels dispositius mòbils en llocs públics).
Atacs a través de la xarxa Wi-Fi
Tenir la Wi-Fi oberta o d’accés fàcil implica, tenir la nostra connexió a internet compartida amb qualsevol y ens exposa a diferents riscos:
• Reducció de l’amplada de banda.
• Robatori de la informació transmesa.
• Connexió directa amb els nostres dispositius y a la informació que contenen.
• Responsabilitat davant d’accions il·lícites
Accions per protegir la nostra Wi-Fi:
• Canviar la contrasenya per defecte.
• Assignar un sistema de seguridad més avançat, com ara el WPA2.
• Modificar la contrasenya per canviar la configuració del router.
• Activar la restricció a MAC per connectar els dispositius que escollim a la nostra xarxa.
• Apagar el router, si no l’hem de fer servir en diversos dies.
• Mesurar la propagació del senyal perquè estigui dins dels límits de la nostra oficina.
• Rastrejar quins dispositius estan connectats a la nostra xarxa.
• Evitar l’ús de xarxes Wi-Fi públiques.
Una xarxa VPN és una xarxa en la que no és necessària la connexió física dels dispositius (mòbils, tauletes, ordinadors…), que es pot portar a terme mitjançant internet y on les nostres dades viatgen de manera aïllada (tunel), aportant seguridad (encriptació, habitualment de 256 bits), disponibilitat geogràfica y privacitat (un servei de VPN no hauria de guardar registres de les connexions, de manera que el registre de connexions del nostre operador només mostrés connexions als servidors de VPN, no als punts finals als quals es realitza la connexió).
Què ha de tenir una VPN per considerar-se segura?
L’encriptació no sempre és suficient, hi ha una sèrie de funcionalitats que ens calen per reforçar la seguridad:
• KillSwitch
Mecanisme pel qual la comunicació s’interromp, si es perd la comunicació amb l’altre extrem de la VPN. Si no s’inclou aquesta funcionalitat a la nostra VPN, el sistema operatiu pot continuar enviant paquets d’informació a través de connexió normal, en lloc
d’enviar-los a través de la VPN.
• Pèrdues de DNS (DNS leaks)
Algunes VPN no proporcionen mecanismes de seguridad davant de fuites de DNS: quan hi ha una vulnerabilitat en el túnel de xifrat de VPN implicant que les consultes o operacions que fem estan exposades a ser vigilades. Les peticions de DNS es realitzen
per fora de la VPN, posant en risc la nostra informació y accessos.
• Pèrdues de WebRTC
Algunes VPN no proporcionen mecanismes de prevenció de fuites de WebRTC (tecnologia que permet comunicació en temps real) y ens podem trobar que, malgrat comptar amb una bona VPN en el nostre sistema, les nostres videoconferències s’emetin per un canal no protegit.
• Registres
Les lleis de molts països obliguen a empreses operadores y proveïdores de serveis de VPN a demanar registres que estiguin disponibles a petició. Si realment volem tenir una privacitat total, necessitarem utilitzar un servei de VPN que resideixi en
una regió que no obligui a demanar registres de persones usuàries.
Hi ha moltes empreses que ofereixen serveis de VPN. Tot y que n’hi ha de gratuïtes, les més segures y completes són les versions de pagament. Algunes empreses són NordVPN, ExpressVPN o PureVPN, amb un rang de preus de 3 a 5€ al mes.
Algunes maneres d’augmentar la seguridad del nostre router són:
• Actualitzar el firmware del router.
• Desactivar l’accés remot.
• Configurar el router WLAN per cable, la primera vegada que el connectem a l’ordinador y quan en fem actualitzacions o manteniment.
• Canviar la contrasenya que el router té per defecte.
• Canviar l’SSID (nom o identificador que té el router) o ocultar-lo.
• Canviar els canals d’accés, si comprovem que altres routers veïns circulen pel mateix canal que nosaltres.
• Aprofitar la banda de 5 GHz, ja que és més estable y té menys interferències.
• Accés concret a persones convidades: crear una subxarxa amb la seva pròpia SSID y la seva pròpia contrasenya, sense accés a la nostra xarxa principal.
La majoria de vulnerabilitats a les quals ens exposem a la nostra pàgina web venen a través dels plugins, mòduls o temes que no són part del codi font del gestor de continguts.
Riscos y atacs habituals:
• Injecció de SQL: infiltració de codi intrús que aprofita un error del programari per realitzar consultes de bases de dades.
• Cross SiteScripting (XSS): permet executar un codi d’scripting, com ara VBScript o JavaScript en un lloc web.
• Atacs de força bruta: intent d’accedir a les nostres credencials per poder manipular la nostra pàgina web. Es basen en provar milions de combinacions de noms d’usuària y contrasenya fins a trobar els correctes.
• Clickjacking: enganyar a un usuari per a que faci clic en algun element (com ara un botó) que no és el que sembla. Aquest engany pot revelar informació confidencial o permetre que altres persones prenguin el control del nostre ordinador. Per exemple, una persona usuària fa clic a un enllaç a veure un vídeo y en realitat fa clic a comprar un producte en una pàgina
web aliena a la que està visitant.
• Cross SiteRequestForgery (CSRF): atac que força al navegador web de la víctima, validat en algun servei (com ara correo o internet banking) a enviar una petició a una aplicació web vulnerable. L’objectiu específic són les sol·licituds de canvi d’estat, no el robatori de dades.
Bones pràctiques per evitar vulneracions:
• Activar les actualitzacions automàtiques del CMS y els plugins.
• Usar una contrasenya forta y segura.
• Descarregar continguts només de webs oficials.
• Introduir CAPTCHAS als nostres formularis.
• Buscar un CMS amb comunitat forta per tenir suport, en cas de vulneració de la seguridad.
• Contractar un hosting segur.
• Disposar d’un certificat SSL.
Els comerços electrònics són víctimes habituals d’atacs potencials, especialment en períodesde campanyes (nadal, black friday, rebaixes).
Riscos als que ens exposem:
• Targetes de crèdit robades
Quan una persona compra un producte a la nostra botiga online amb una targeta de crèdit robada, ja que molt possiblement el banc reclamarà aquest pagament. Aquest tipus de frau resulta especialment perillós en
aquells comerços electrònics que tracten amb productes digitals y que s’han de lliurar a la clientela de manera immediata, ja que és possible que ja haguem lliurat el producte.
• Una vulnerabilitat a la pàgina web
Per exemple, que algú canviï el preu dels productes per adquirir-los a un preu més baix. A efectes legals, és molt difícil provar que l’atac es va realitzar de manera intencionada (i no com a fruit d’un error) i, en la majoria de les vegades, el comerç haurà d’assumir el cost, sense opció a poder reclamar.
• Robatori d’informació
La sostracció de dades
Emmagatzemades a la pàgina web, com ara informació bancària de la nostra clientela, contrasenyes, dades d’accés…
• Phishing
Que ens suplantin la identitat y utilitzin el nostre nom per aconseguir informació de la nostra clientela.
• Atacs DDoS o denegació de servei
La persona atacant utilitzarà una botnet (xarxa d’ordinadors infectats y que estan sota el seu control) per llançar milers de peticions de connexió per segon al nostre comerç electrònic. El resultat serà que el servidor no podrà fer front a totes les peticions y el nostre negoci estarà inaccessible durant l’atac.
Bones pràctiques per protegir el nostre comerç electrònic:
1. Triar una plataforma de comerç electrònic segura.
2. Implementar certificats SSL.
3. Oferir formes de pagament segures, com ara les passarel·les de pagament que tenen els bancs.
4. No emmagatzemar dades sensibles, només les estrictament necessàries y per un temps determinat.
5. Instal·lar alertes d’activitats sospitoses al sistema y revisar contínuament la pàgina web.
Així mateix, les xarxes socials també poden ser font de riscos de ciberatacs.
Alguns consells per prevenir-los són:
• Correo alternatiu per registrar-se.
• Emprar contrasenyes segures.
• Vigilar l’intercanvi d’informació confidencial.
• No fer clic a enllaços de missatges de persones usuàries sospitoses.
• Compte amb les aplicacions que es descarreguen.
• Controlar els permisos d’administració atorgats amb les persones que hi treballen en les nostres xarxes socials.
• Tancar sempre la sessió, quan haguem acabat..
És important que tinguem traçat un protocol d’actuació (contingència) per facilitar la implementació de mesures reactives, en cas d’atac, en la major brevetat possible.
D’entrada, comencem traçant un plan bàsic y anar-lo completant a mesura que la quantitat de dades que gestionem o la complexitat de l’empresa vagi augmentant.
Punts bàsics d’actuació:
• Definició dels paràmetres d’una crisi de seguridad
Hem de definir el risc, per al nostre cas y en funció del que marca la llei, les dades y els sistemes crítics. És a dir, cal que determinem quin tipus de dades tractem y qui hi té accés, així com quins són els elements més crítics de ser vulnerables y on estan ubicats (còpies de seguridad, accés a les sales de servidors, la localització de les contrasenyes, etc.).
• Escalat d’accions y responsabilitats
Cal garantir que les persones adequades tinguin les eines necessàries per actuar en cas de crisi, com ara els telèfons y correos de
contacte de persones o empreses clau per a la gestió d’una crisi (l’empresa informàtica que gestiona les còpies de seguridad, l’empresa gestora de la pàgina web o del hosting, o l’Institut Nacional de Ciberseguridad, per exemple), així com accés àgil a les
contrasenyes o autenticacions necessàries.
• Implicacions legals en cas de crisi de seguridad
En funció de les dades que manipulem, un incident de seguridad està subjecte a diferents requisits legals, pel que fa a obligacions y terminis per exercir-los. Hem de tenir clar, doncs, quina de les nostres empreses proveïdores o personal està potencialment implicat en una situació de crisi.
• Organigrama d’acció les primeres 24-48 hores
Hem de tenir clares les tasques, funcions y comunicacions que els y les membres de l’equip han de dur a terme en un termini concret. Com, per exemple, revisar comptes bancaris, xarxes socials, gestors de correo electrònic, la pàgina web y el comerç electrònic, canviar contrasenyes a tot arreu, restablir la informació vulnerada a través d’una còpia de seguridad o avisar a INCIBE.
Cada empresa ha de desenvolupar el seu en funció de les dades que es manegen y les dimensions.
En general el protocol d’actuació ha de contemplar els següents sis passos:
1.- Preparació: Capacitar el personal per gestionar possibles incidents.
2. Identificació: Determinar si l’esdeveniment és realment un incident de seguridad.
3. Contenció: Limitar el dany de l’incident y aïllar els sistemes afectats per evitar danys afegits.
4. Erradicació: Trobar la causa de l’incident y eliminar-la.
5. Recuperació: Permetre que els sistemes afectats tornin a l’entorn de producció y garantir que no queda cap amenaça.
6. Documentar: fer un informe del cas y analitzar com ha succeït perquè el personal pugui aprendre d’això y millori els esforços de resposta futurs.
Les plataformes d’emmagatzematge (Dropbox, Google Drive o Microsoft One Drive) y transmissió de dades (WeTransfer, Hightail o Wesendit) també poden ser font de problemes en la seguridad y privacitat de les dadesde la nostra empresa.
Emmagatzament:
Dropbox: convé activar unes opcions, que no ho estan per defecte: «Verificació en 2 pasos», revisar amb detall «Comprovació de seguridad» y activar totes les «Notificacions». En Dropbox per a negocis, de pagament, tenen algunes opcions de seguridad més exigents.
Google Drive: activar la verificació en 2 pasos.
One Drive: activar la verificació en 2 pasos y ús de «Personal Vault», que protegeix amb una clau extra les carpetes que seleccionem dins del nostre compte.
Aquestes plataformes tenen un sistema d’encriptació de les dades baix, podem fer servir programes gratuïts com ara Cryptomator.
Compartir:
Wetransfer: Lloc assenyalat com a força insegur y que ha patit nombrosos atacs. Es recomana l’ús de serveis alternatius com, plataforma de Mozilla Firefox, Hightail o Wesendit.
Altres vies d’atac per les quals la nostra empresa pot ser atacada poden ser:
• Els navegadors web, ja que cal anar amb compte amb la instal·lació d’extensions.
• El personal, perquè gran part de les vulneracions venen de males praxis en l’equip de treball, y cal fomentar la formació.
• Ús de dispositius externs, que convé formatar-los abans d’inserir-los en el nostre ordinador.
Per altra banda, per protegir la privacitat dels nostres contactes, si hem d’enviar un correo electrònic a diferents persones destinatàries, les hem de posar en CCO o còpia oculta o fer els enviaments a través de programes de gestió de correos electrònics com ara Mailchimp, SendInBlue o MailRelay..
Depenent del tipus d’atac y del seu abast, els protocols d’actuació, en cas de vulneració de les dadesde la nostra empresa o de la privacitat, són diversos.
Cal notificar-ho, ales autoritats, a les persones afectades y denunciar-ho a les plataformes gestores de les xarxes socials (twitter, facebook, instagram, etc) o correo electrònic (gmail, outlook, etc).
En el cas que la vulneració posi en risc els drets y llibertats d’alguna persona, han de notificar a l’autoritat de control sense demora i, com a molt tard, 72 hores després que haguem tingut constància de l’atac. Si la vulneració de la seguridad de les dades suposa un alt risc per a les persones afectades aquestes també han de ser informadesde manera immediata.
::: Mínima introducción sobre seguridad en el mundo web (wordpress)
CONTINGUTS
2. TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
4. MÍNIMES PRÀCTIQUES NECESSÀRIES
La seguridad és el tema tecnològic en aquests dies, perquè els llocs web han estat piratejats y la tendència és creixent. Però hi ha moltes coses que podeu fer per protegir el teu lloc web.
Farem alguns breus comentaris sobre seguridad y WordPress, tractant alguns conceptes generals per ajudar-te a mantenir el lloc segur:
IDEES PRELIMINARS
4.1 Protecció
En primer lloc, cal bloquejar el lloc y mantenir-lo segur:
· Impedir la intromissió en l’àmbit que ens és propi (servidor, bases de dades, web, correo, transferència de fitxers). Concretament en WordPress, substituint les portes d’accés habituals per altres amb diferent ubicació y validació reforçada.
· Amagar informació d’interès pel delinqüent (servidor, bases de dades, WordPress en quasevol dels seus àmbits).
· Protecció de l’entorn (blindatge sobre canvis en fitxers y carpetes del sistema, del servidor, configuració segura de tots els àmbits de WordPress).
4.2 Detecció
Per molt bona que sigui la teva protecció, els delinqüents podrien trobar una manera de fer mal al teu lloc. I cal saber quan s’està produint un atac. L’atac no sempre serà un atac frontal complet que fa que sigui dolorosament evident que el teu lloc ha estat piratejat. De vegades, els robots insereixen un munt de codi ocult al vostre lloc, sense símptomes aparents. Mai no ho sabràs sense la detecció, per la qual cosa és necessària una monitorització constant a la cerca de codi maliciós.
4.3 En cas d’atac i/o infecció
· Resposta immediata
Cancel·lació de les sessions y ips involucrades, desinfecció y eliminació de portes d’entrada per evitar la re-infecció.
· Recuperació, si s’escau
Finalment, necessites un plan per tornar a posar en marxa el teu lloc després d’haver estat malmés. Les millors estratègies de protecció y detecció encara es poden frustrar y cal estar preparat. Una bona còpia de seguridad és vital, també a banda de la seguridad.
Cal una política de còpies, automatitzada y comprovada per tal d’estar preparats per a qualsevol cosa.
TIPUS D’ATACS HABITUALS SOBRE WORDPRESS
Fins hores d’ara, hi han força possibles atacs al teu lloc, ja que hi han molts possibles punts d’accés, ja siguin pel mateix WordPress, però també pel servidor, els usuaris, comentaris, codis de script (petits programes que executen ordres), etc.
Alguns dels més habituals poden ser aquests:
CAPES DE SEGURIDAD
La seguridad dels llocs web dels nostres clients és la nostra prioritat en els nostres serveis d’alojamiento web, tant a nivell de servidor, com d’alojamiento individual y a nivell d’aplicació.
La seguridad no és una acció en concret, sinó múltiples en una sèrie de capes que afegeixes al teu lloc web -especialment en WordPress-.
Per exemple:
Cap d’aquestes polítiques aplicades a les diferents capes, per si soles farà que el teu lloc sigui segur. No obstant això, totes juntes poden fer que el teu lloc estigui prou protegit perquè els delinqüents es vagin a per una altra web amb menys seguridad.
MÍNIMES PRÀCTIQUES NECESSÀRIES
ÀMBITS D’ACTUACIÓ són:
En general, als::: ¿Cómo se si tengo la web pirateada o infectada?
Simptomes directes:
Comportaments obvis entre d’altres, en l’operatòria de l’entorn productiu:
No es mostren simptomes directes…:
Aquest és un context especialment conflictiu perquè permet al delinqüent piratejar a més llarg plaç, habitualment per:
Conclusió
Cal previndre: sempre és menester fer ús d’accions de seguridad constants y actualitzades, en forma de monitorització a diferents nivells -en cas contrari, podem estar infectats y no saber-ho- y al mateix temps, portant a terme respostes immediates al davant d’una sospita o crisi manifesta.
::: Tengo la web pirateada o infectada. ¿Qué hago?
Si no tens capacitat/familiaritat d’administració sobre els serveis d’internet:
Si tens capacitat/familiaritat d’administració sobre els serveis d’internet:
::: Post-Hackeo. ¿Qué he de hacer?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web amb WordPress, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes y que no s’ha produït cap re-infecció durant aquest període.
::: ¿Qué acceso necesitamos para acceder a su sitio web y/o al servidor?
Necessitarem les vostres credencials per accedir directament -no per aplicatius de connexió remota (anydesk, teamviewer, etc)- via FTP / SFTP o SSH, així com un accés al tauler d’administració de WordPress. També si hi ha un tauler d’administració de servidors (cPanel / WHM, Plesk, Webmin, etc.), poder accedir-hi per investigar.
::: No tengo la web con vosotros: ¿En qué consiste la supervisión post-limipeza?
Pels clients externs, que no teniu allotjat el vostre web en la nostra infraestructura, després de netejar el vostre web amb WordPress, el supervisarem 24/7 durant 30 dies per assegurar-nos que s’han solucionat tots els problemes y que no s’ha produït cap re-infecció durant aquest període.
Incluido en todos los alojamientos
Aplicamos una robusta política de seguridad a diferentes niveles: encriptación del tráfico web, forzar https, copias de seguridad (30 días), firewall, inteligencia artificial, actualizaciones y parches proactivos de seguridad:
Suscripción Anual: 400 € (incluye las prestaciones del plan básico)
Llevamos a cabo determinados ajustes de parámetros de la instalación de wordpress, junto acciones concretas de ámbito general y aplicable en:
Ámbitos de actuación WP:
Ámbitos de actuación generales:
Suscripción Anual: 800 € (incluye las prestaciones del plan profesional)
Impide ataques via:
Potente motor de desinfección rápida y escaneo:
Aplicamos acciones de desinfección y defensa preventiva para rechazar ataques a través de la implementación y depuración de software y políticas de seguridad en:
:: MONITORIZACIÓN Y DETECCIÓN
Incorporamos un nuevo sistema de escaneo que detecta y advierte de la presencia de malware. Este sistema permite realizar escaneos del alojamiento web a demanda y realizar escaneos completos para detectar malware y etiquetado en listas negras de dominios.
La base de datos de malware se actualiza constantemente, permitiendo la detección de las últimas amenazas.
Rasgos:
:: PROTECCIÓN (infraestructura y software especializado)
:: RESPUESTAS EN CASO DE INFECCIÓN