Translate

martes, 9 de julio de 2013

Ataque de denegación de Servicio DDoS Spamhaus.org

El 18, 19 y 22 de marzo de 2013 hubo uno de los mayores ataques de denegación de servicio que se conocen contra el website Spamhaus.org que pertenece a la organización The Spamhaus Project

El ataque de denegación de servicio que se ejecutó (entre otros), fue “DNS amplification attacks”, este ataque consiste en la generación de múltiples peticiones desde múltiples host, estas peticiones (que por lo general son ICMP o UDP), llevan como dirección IP de origen, la dirección de la víctima, de esta forma la victima recibirá respuestas de todos los host a los cuales se les han enviado las peticiones, por lo general las respuestas a estas peticiones, son de un tamaño significativamente más grande que la petición inicial, en este caso concreto, una petición de 64 bytes, dio lugar a respuestas por 3.223 bytes


Este ataque se perpetuo por medio de redes de equipos zombis o Botnet

¿Como se soluciono este ataque?

La empresa CloudFlare pudo mitigar el ataque gracias al uso de la técnica anycast, para entender el concepto de anycast, primero veamos a entender cómo funciona unicast.

Unicast es el sistema de enrutamiento más utilizado en Internet, bajo Unicast, un nodo de red, tiene asignada una única dirección IP. Los routers de Internet, tienen un mapa de todas las direcciones IP por países, de esta forma asignan la dirección más corta a los paquetes en cada solicitud.
Anycast, muchas maquinas con una IP, bajo este eslogan funciona este esquema de encaminamiento, en el cual varios equipos pueden compartir una única dirección IP, de este modo cuando se hace una solicitud a una dirección IP que funciona bajo este esquema, los routers dirigirán este llamado a la red más cerca, en este caso particular, en CloudFlare hay 12 centros de datos en todo el mundo que escuchan y re-direccionan las solicitudes a las redes de anycast.
Dentro de las propiedades de anycast, se encuentran la velocidad y los bajos niveles de latencia, además esta tecnología por naturaleza tiende a repeler los ataques de denegación de servicio ampliando el ancho de banda para absorber este tipo de ataques
¿Como se mitigo este ataque?
Una vez los de Spamhaus, detectaron el ataque de denegación de servicio, se pusieron en contacto con CloudFlare, quienes utilizando la tecnología anycast, lograron distribuir la carga de los ataques en los diferentes centros de datos que tienen alrededor del mundo, de esta forma las botnet utilizadas en este ataque fueron distribuidas y absorbidas.

Para mas informacion de este ataque, nos podemos dirigir al sitio oficial

martes, 19 de febrero de 2013

Metodologías y Herramientas de Ethical Hacking


Metodologías Ethical Hacking

A continuación les tengo una selección de las mejores metodologías y técnicas utilizadas en el mundo del Ethical Hacking.

El Ethical Hacking, es de las especializaciones de seguridad informática más apetecidas por las grandes empresas a nivel mundial, todos los días crece la necesidad de tener personas con los suficientes conocimientos en estas áreas, para contrarrestar los ataques de la creciente comunidad de hackers, la cual tiene mayor representación en Asia y el Medio Oriente, pero que esta regada por todo el mundo.
Es muy delgada la línea entre un hacker de sombrero blanco y un hacker de sombrero negro, a nivel de conocimientos ambos tienen la capacidad de reconocer vulnerabilidades y/o fallos en sistemas, para sacar provecho de la situación, el hacker ético tiene como misión explotar estas vulnerabilidades y reportar las mismas, el fin nunca es el sacar provecho económico de la situación, por lo contrario el objetivo es hacer recomendaciones y/o diseñar controles para la mejora del sistema.
Las metodologías más usadas en el Ethical Hacking son las siguientes:

OSSTMM (Open-Source Security Testing Methodology Manual).

Metodología que propone un proceso de evaluación de una serie de áreas que refleja de manera fiel los niveles de seguridad presentes en la infraestructura que va a ser auditada, a estos niveles de seguridad se le denominan comúnmente “Dimensiones de Seguridad” y normalmente consiste en analizar los siguientes factores.

  1. Visibilidad
  2. Acceso
  3. Confianza
  4. Autenticación
  5. Confidencialidad
  6. Privacidad
  7. Autorización
  8. Integridad
  9. Seguridad
  10. Alarma


Como parte de un trabajo secuencial la metodología OSSTMM consta de 6 ítems los cuales comprenden todo sistema actual, estos son:

  1.            Seguridad de la Información 
  2.            Seguridad de los Procesos
  3.            Seguridad en las tecnologías de Internet
  4.            Seguridad en las comunicaciones
  5.            Seguridad inalámbrica
  6.            Seguridad Física



ISSAF (Information Systems Security Assessment Framework).

Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las características más representativas de ISSAF son:

     Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones    de seguridad.
    Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes.
   Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles.


OWASP (Open Web Application Security Project).

Metodología de pruebas enfocada en la seguridad de aplicaciones, El marco de trabajo descrito en este documento pretende alentar a las personas a evaluar y tomar una medida de la seguridad a través de todo el proceso de desarrollo. Así, pueden relacionar los costes de un software inseguro al impacto que tiene en su negocio, y de este modo gestionar decisiones de negocio apropiadas (recursos) para la gestión del riesgo, algunas de las características más representativas de OWASP son:

  1.       Pruebas de firma digital de aplicaciones Web. 
  2.         Comprobaciones del sistema de autenticación.
  3.          Pruebas de Cross Site Scripting.
  4.          Inyección XML
  5.          Inyección SOAP
  6.          HTTP Smuggling
  7.          Sql Injection
  8.          LDAP Injection
  9.          Polución de Parámetros
  10.          Cookie Hijacking
  11.          Cross Site Request Forgery


En el siguiente diagrama se puede apreciar el flujo de un ataque establecido contra una aplicación Web desarrollado bajo el marco de la metodología OWASP.

CEH (Certified Ethical Hacker).

Metodología de pruebas de seguridad desarrollada por el International Council of Electronic Commerce Consultants (EC-Council) algunas de las fases enunciadas en esta metodología son:

  1.          Obtención de Información. 
  2.        Obtención de acceso.
  3.        Enumeración. 
  4.           Escala de privilegios.
  5.           Reporte

  
OFFENSIVE SECURITY

Metodología líder a nivel mundial para el desarrollo de pruebas de penetración y estudios de seguridad, la metodología contempla principalmente los métodos para el desarrollo de estudios de seguridad enfocados en seguridad ofensiva y teniendo como marco la posibilidad real de explotación independientemente de los indicadores de riesgos y vulnerabilidades, las principales ventajas de adoptar este marco metodológico son:

  1. Enfoque sobre la explotación real de las plataformas.
  2. Enfoque altamente intrusivo.
  3. Enfoque orientado a resultados tangibles y no a estadísticas generadas por herramientas.

  
Recolección de Información.

Recolección de Información para identificar objetivos específicos (servidores, enrutadores, firewalls, RAS) en las redes objetivo. De acuerdo al escenario escogido de las pruebas, se pueden dar dos situaciones:

  1. Pruebas Ciegas, en donde el cliente NO proporciona ningún tipo de información y se lleva a cabo la tarea de descubrimiento de la misma, para la planeación del ataque. En este escenario las pruebas toman más tiempo por cuanto se debe recolectar más información inicialmente.
  2. Pruebas con Información, donde el cliente proporciona información básica de sus redes, servidores, elementos etc. y se puede optimizar el tiempo de pruebas orientándolas a los objetivos específicos definidos.


Análisis de Vulnerabilidades

Consiste en determinar problemas de seguridad en los puntos hallados en la fase I “Recolección de Información”. Estos problemas de seguridad se pueden determinar usando herramientas especializadas o de manera manual. Dependiendo del tipo de herramienta utilizada y la arquitectura de seguridad de la organización, el análisis de las vulnerabilidades detectadas puede tardar más tiempo, ya que para tener mayores probabilidades de éxito, es necesario determinar los falsos positivos. Como resultado del análisis de vulnerabilidades, se determina la estrategia a seguir durante las pruebas de seguridad.

Definición de Objetivos

Con base en la información generada por la fase de “Análisis de vulnerabilidades”, determinar aquellos objetivos específicos que puedan proporcionar una mayor probabilidad de éxito durante el ataque o aumentar el grado de penetración para alcanzar cualquiera de las metas definidas. Es común que los objetivos definidos como principales, tengan un mayor nivel de seguridad, por lo cual puede ser más difícil comprometerlos o vulnerarlos. Teniendo en cuenta lo anterior, para lograr una mayor objetividad en las pruebas y determinar el riesgo real existente, es necesario involucrar dentro de las mismas, algunos objetivos secundarios, desde los cuales, debido al grado de confianza, se puede llegar de manera más directa a los objetivos principales.

Ataque

Atacar los objetivos seleccionados en la fase anterior utilizando las vulnerabilidades descubiertas. Dentro de la etapa del ataque, se prueba la existencia real de las vulnerabilidades encontradas en las etapas anteriores, para así determinar el impacto de las mismas, en la organización. Dentro del desarrollo de los ataques, pueden surgir nuevas vulnerabilidades no detectadas en las fases anteriores, las cuales serán incluidas dentro de esta etapa, para su verificación.

Análisis de Resultados

Análisis de resultados del ataque. Al lograr el grado de penetración interna para alcanzar la meta se repite el ciclo volviendo a la fase 1. Si la meta ha sido alcanzada o se define el fin de las pruebas, se sigue al último paso.

Análisis Final y Documentación

Generación de un informe detallado con los resultados obtenidos durante todo el proceso de ejecución de las pruebas, con el correspondiente análisis de dicha información para poder ser interpretada de manera correcta y entender las implicaciones a nivel de seguridad sobre la infraestructura informática analizada, con las recomendaciones necesarias para solucionar dichos problemas.
Incluye adicionalmente los siguientes puntos:

·         Aspectos positivos encontrados durante las pruebas
·         Oportunidades de mejoramiento

En la siguiente gráfica se puede apreciar el flujo de trabajo usado para el desarrollo de pruebas de penetración de una manera profesional usando las metodologías anteriormente descritas.


Herramientas de Ethical Hacking 


Dentro de las metodologías utilizadas en el Ethical Hacking, se utilizan entre otras las siguientes herramientas:
  1. nmap
  2. ncat
  3. ncrack
  4. metasploit framework
  5. maltego
  6. yersinia
  7. dsniff
  8. ettercap
  9. ike-scan
  10. Nessus
  11. Social Engineering Toolkit
  12. Backtrack5. 


Nmap

Herramienta estándar usada mundialmente por miles de consultores en el mundo, algunas de las características mas representativas de nmap son:


  1. Escaneo de Puertos
  2. Escaneo de servicios
  3. Escaneo de vulnerabilidades
  4. Escaneo de redes
  5. Escaneo por scripts 


 Ncat
Utilidad que tiene entre otras las siguientes características:

  1. Redirección TCP y UDP
  2. Escaner de puertos
  3. Service binding
  4. Soporte para SSL
  5. Soporte para Proxys 




Ncrack

Herramienta para cracking de autenticación de alta velocidad, algunas de las características de esta herramienta son:

  1. Soporte para RDP
  2. Soporte para SSH
  3. Soporte para SMB
  4. Soporte para VNC
  5. Soporte para VNC
  6. Soporte para FTP
  7. Soporte para Telnet 




Metasploit Framework

Framework de explotación desarrollado en Ruby usado ampliamente a nivel mundial por consultores en seguridad, algunas de las características destacadas del framework son:


  1. Amplia base de datos de exploits
  2. Diversos Payloads de ejecución
  3. Soporte para post-explotación
  4. Permite atacar diferentes plataformas 




Maltego

Herramienta ampliamente usada mundialmente para el desarrollo de etapas de obtención de información.
Los resultados proporcionados por Maltego pueden ser usados en diferentes fases de un ataque.



Yersinia

Herramienta de red que permite tomar ventaja de los diferentes tipos de vulnerabilidades en diferentes protocolos de red, con Yersinia se pueden realizar ataques contra los siguientes protocolos.


  1. Spanning Tree Protocol (STP)
  2. Cisco Discovery Protocol (CDP)
  3. Dynamic Trunking Protocol (DTP)
  4. Dynamic Host Configuration Protocol (DHCP)
  5. Hot Standby Router Protocol (HSRP)
  6. IEEE 802.1Q
  7. IEEE 802.1X
  8. Inter-Switch Link Protocol (ISL)
  9. VLAN Trunking Protocol (VTP) 




Dsniff

Sniffer usado ampliamente en pruebas de penetración con capacidades interceptación de tráfico de red. Adicionalmente Dsniff incluye las herramientas arpspoof, dnsspoof y macof.


Ettercap


Sniffer de red con capacidades de realizar ataques del tipo Man In The Middle y con un amplio soporte de plugins.


IKE-SCAN

Herramienta especializada para realizar ataques sobre firewalls, concentradores de VPN’s y dispositivos que usen el protocolo IKE.


Nessus

Scanner de vulnerabilidades conocido ampliamente a nivel mundial con soporte de scripts personalizados mediante el uso de Nessus Attack Scripting Language NASL.

  1. Algunas de las características más representativas de Nessus son:
  2. Permanente actualización
  3. Reportes de riesgos con categorización del mismo.
  4. Posibilidad de escanear máquinas de forma simultánea.
  5. Posibilidad de integración con otras herramientas como metasploit y nmap. 



Social Engineer Toolkit

Herramienta líder mundialmente para el desarrollo de vectores de ataque relacionados con ingeniería social, incluyendo Phising, Credential Harvesting y otros vectores de ataque dirigidos a explotar vulnerabilidades humanas en usuarios y administradores.
  

Backtrack5

Principal distribución cuyo propósito específico es la seguridad en redes, considerada actualmente la distribución más avanzada de Linux diseñada con un propósito específico de seguridad, desarrollada por profesionales de la seguridad y en total alineación con las metodologías descritas anteriormente, cuenta de forma nativa con más de 300 herramientas de seguridad incorporadas. 



Bueno esto es todo por ahora, espero y estas Metodologías y Herramientas les sirvan para iniciar en el Ethical Hacking



sábado, 16 de febrero de 2013

Eliminar fotos de un ex, en Facebook

¿Cómo eliminar todas las huellas de un ex en Facebook?

Lo que hasta hace poco era un dolor de cabeza para muchas personas, hoy tiene una posible solución, el pasado día de san valentín se lanzó el Killswitch, está aplicación que promete ayudar a aquellos que les rompieron el corazón y que aún cargan con el peso de verse en Facebook con fotos y comentarios de su ex pareja...

Les dejo el enlace a los que estén ingresados en saber más sobre este nuevo programa...

¿Problemas con el facebook desde tu celular?

¿El Facebook esta lento desde mi celular...? 


Últimamente el facebook les ha puesto problemas para cargar fotos, actualizar estados y múltiples errores de red, y lentitud extrema así, estén conectados desde la red móvil o desde el wifi?

Si piensan que tienen un virus en su celular, no están tan lejos de la realidad, pero la verdad es que el problema va mucho más allá de nuestro teléfono móvil, tablet o computador portátil ya que este problema lo compartimos muchos con la última actualización de facebook que se dio a principio del mes de febrero.

Resulta que la red social más importante del mundo ha sido víctima de un «sotificado ataque» perpetrado a partir de una vulnerabilidad de "java" la cuál, aún cuando los señores de facebook digan que los usuarios no han sido afectados en su información, la verdad es que el problema sí se ha sentido a nivel de estabilidad del sistema, sobretodo en los sistemas móviles...

Tal parece que facebook no es el único que ha sufrido a partir de está falla de seguridad, hace un par de semanas twitter informó que la información de más de 25 mil usuarios había sido
robada por un grupo de hackers..


Debemos estar alertas con la información que manejamos en las redes sociales ya que no se están salvando ni siquiera los grandes como facebook y twitter..


miércoles, 13 de febrero de 2013

La Seguridad en las redes Sociales


Consejos de Seguridad en Redes Sociales

Las redes sociales cada día invaden mas nuestro mundo y nos hacen mas dependientes de ellas, hagamos un análisis de su importancia y veamos unos consejos para tener en cuenta a la hora de publicar nuestra información.

Hoy en día existen más de 300 redes sociales en todo el mundo, enfocadas a todo tipo de temas, desde redes de amigos, para conseguir pareja, fotografías, videos, investigación, buscar trabajo, compartir música, entre otras.

Las redes sociales se han convertido en el medio de comunicarnos, que le llega a más gente en tiempo real, hoy en día con el auge de los celulares inteligentes, las tabletas, los ultrabook, las cámaras digitales, los relojes inteligentes, las gafas de realidad aumentada, los televisores Smart tv, los hogares inteligentes, entre otros productos, es muy difícil no hacer parte de alguna red social para interactuar con el resto del mundo.

Las redes sociales son el futuro de la comunicación mundial y no solamente las comunicaciones hombre-hombre, sino también las comunicaciones hombre-máquina y máquina-maquina, en poco tiempo no será raro ver a nuestra nevera ordenando el listado de la compra del mes por medio de alguna aplicación del Facebook, o ver a nuestro carro enviándonos un twitter que se le disparó la alarma, o pagar una carrera de taxi por whatsApp, esto entre muchas de las posibilidades tecnológicas que hoy en día ya se están desarrollando e implementando en todo el mundo.

La industria está entendiendo esas tendencias y las empresas cada día invierten más presupuesto en publicidad de redes sociales, que en otro tipo de publicidad porque saben que esta, llega más rápido y es más fácil hacer estudios y descubrir tendencias de consumo.

En el mundo de las redes sociales hay de todo y para todos, lo que para algunos es un nuevo medio de difusión y comercialización de sus productos, para otros es un medio de expresión en el cual le pueden decir al mundo su forma de pensar, su situación emocional, entre otras. Pero siempre hay que estar atento con la información que publicamos en Internet, ya que esta, puede ser utilizada para otros fines diferentes a los que nosotros tenemos pensado.

Hace poco se dio a conocer a nivel mundial el sistema RIOT, un sistema creado por una empresa de seguridad, el cual es capaz de seguir los movimientos de las personas y predecir el comportamiento futuro de cualquier individuo gracias al Facebook, Twitter y Foursquare, ¿cómo les parece?


Y la verdad esto no es nada nuevo, los gobiernos a nivel mundial utilizan redes sociales como Fecebook y Twitter, para hacer perfiles psicológicos de personas que pudieran convertirse en un problema para la sociedad, sin mencionar que estas redes son de las más usadas para hacer análisis forenses que ayuden con investigaciones de homicidios, robos, secuestros, estafas, entre otros.

Hasta aquí no hay ningún problema, porque como dice el dicho “el que no tiene nada que esconder, no tiene nada que temer”, y eso es muy cierto, el problema es que no solo las entidades gubernamentales utilizan la ingeniería social y/o sistemas heurísticos para determinar nuestro comportamiento, estas técnicas son también utilizadas por los amigos de lo ajeno, y/o personas inescrupulosas con fines delictivos y/o criminales, lo que se convierte en un problema no solo para nuestra información sino también para nuestra integridad física.

A continuación unas pautas a tener en cuanta a la hora de configurar sus perfiles en la red social mas influyente del mundo:

Tips de Seguridad para configurar su perfil personal en Facebook

1. Cambie la configuración de seguridad de su Facebook para que solo sus amigos y no los amigos de sus amigos, puedan ver su foto principal del perfil.

2. Al Inscribirse o después de su inscripción, cambie su fecha de nacimiento sumando cifras iguales al día, la fecha y el año, no revele su fecha de cumpleaños.

3. Jamás elija las opciones de privacidad: “Mis redes” o “Amigos de mis Amigos” en la configuración de información básica, personal y en la pestaña de información de contacto.

4. No coloque en sus actualizaciones de estado, su ubicación física o la actividad real que está desempeñando.

5. Configure para que las fotografías etiquetadas de Usted, solo puedan ser vistas por el grupo de amigos configurados a tal efecto.

6. Cambie la configuración de privacidad para que los buscadores web u otras páginas no puedan recabar o publicar información de su perfil.

7. Haga visible solo para su grupo de amigos, la información del calendario para que extraños no pueden ubicar físicamente en fechas determinadas.

8. Agregue a su Facebook por su calidad y no en cantidad.

9. Aplique el criterio del Bajo perfil en Internet y no haga pública información sensible que pueda ser utilizada por extraños o delincuentes de todo tipo.

10. No agregue aplicaciones de árbol familiar, o grupos familiares para que no pueda ser ubicado su entorno inmediato ni sus miembros y en caso de que lo haga configúrelo para que solo sea visible por los miembros del mismo.

11. Utilice la técnica de desinformar como táctica de contra-inteligencia.

12. Denuncie actividades irregulares y acoso de personas a través de la web.

13. Si sus hijos están inscritos, supervise si sus contactos son conocidos y pregunte en caso de dudas.

14. Instalar un scanner de vulnerabilidades en Facebook, les recomiendo el Eset Social Media Scanner, ya que es gratis. 

15. Cambie periodicamente su contraseña, para mas información haga click aquí

martes, 5 de febrero de 2013

¿Cómo lograr contraseñas seguras y fáciles de recordar?


Les ha pasado que en sus empresas tienen más de una contraseña, la del correo electrónico, la del dominio de Windows, la del software de gestión de la compañía, etc, etc, etc...

Y si a eso le agregamos la contraseña de nuestro portal bancario (ejemplo el portal de Bancolombia), la tarjeta de crédito y/o débito, las contraseñas del Facebook, de gmail, Hotmail, yahoo, Dropbox, … etc…


Seguro que nos preguntamos Dios, ¿en donde Carajos guardo tanta contraseña? y lo peor es que una contraseña debe ser “segura” y que para que sea segura debe cumplir con una serie de requisitos especiales de longitud, caracteres especiales entre otros, los cuales veremos más adelante... La verdad es que nos estamos volviendo locos memorizando tanta contraseña.

¿Y lo más fácil que es??

1. Pongámosle a todo la misma contraseña y listo…
Esto no es una buena práctica ya que le hacemos más fácil la labor a los amigos de lo ajeno.

2. Guardemos las contraseñas en el celular y listo...
Todos sabemos que eso es lo mas inseguro del mundo, pues en países como Colombia, donde el índice mas alto de robo, es el de celulares, corremos un alto riesgo, que cualquiera se nos quede con la llave a todos nuestros sistemas.

3. Anotemosla en un papelito y las guardamos en un lugar seguro y listo...
Esto no lo debemos hacer, recordemos que un lugar seguro es algo muy subjetivo ya que lo seguro para nosotros no necesariamente es lo mas seguro.



Y la pregunta del millón ¿… Que hago???

Vamos a darles unos consejos respecto a la gestión de contraseñas, pero primero quiero mostrarles el Top 10 de las contraseñas mas usadas y menos seguras..

Numero 10
Nombres  de películas, personajes  de  caricatura  o ciencia  ficción
De las contraseñas mas comunes de encontrar estan superman, batman, spaiderman, entre otros

Numero 9
Su signo zodiacal
Es muy común que las personas pongan como contraseñas los signos zodiacales de ellos y de las parejas, esta es una practica insegura de poner contraseñas

Numero 8
El nombre de la mascota
Los nombre monkey, fifi, lulu, luna, laika, entre los mas usados en el  ranking mundial de contraseñas recordemos que por mucho que queramos a nuestras mascotas, lo mas seguro es que sus nombres estén predeterminados en las bases de datos del bajo mundo y las que no, con un poco de ingeniería social es muy fácil de descifrar. 

Numero 7
La placa del vehículo
Aun cuando la placa del vehículo sea de caracteres alfanuméricos  no es nada recomendable ponerlas como contraseñas ya que estas son de conocimiento publico.

Numero 6
El nombre de la pareja
Esta es la practica menos recomendada, recuerden que la contraseña se tiene que cambiar cada tres meses, imaginen lo costoso que saldría eso  (tendríamos que cambiar la pareja también) jejejeje...

Numero 5
El numero telefónico, el numero de cédula o la fecha de nacimiento
Es una muy mala practica recuerden que al igual que el numero 7, esta es información de conocimiento publico, la fecha de nacimiento la incluyo por recomendación de Juan, la verdad no se como se nos pudo escapar, pero es una de las contraseñas mas usadas sobre todo en tarjetas de crédito y/o débito.

Numero 4
Su nombre o apellido
Por lo general tu usuario es una combinación de tu nombre y tu apellido, los programas de detección de contraseñas hacen estas mismas combinaciones y les es muy fácil dar con nuestras contraseñas.

Numero 3
EL NOMBRE DE NUESTRA EMPRESA (COMPAÑÍA ABC)
No se recomienda porque tras de ser de conocimiento publico, estas son de fácil deducción.

Numero 2
Combinaciones obvias o fáciles de adivinar como lo son 123456, qwerty o abc123, estas combinaciones de caracteres son de las mas usadas en el mundo y solo es vencida por la numero uno.

Numero 1
La palabra password, letmein y contraseña son las mas comunes de usar en todo el mundo, la verdad es impresionante ver como a la gente, el sistema les dice escriba la contraseña y ellos escriben la palabra "contraseña"... increíble pero cierto.

Esperemos que ustedes no estén en ese 70% de la población que usa contraseñas inseguras para acceder a sus sistemas y si por "casualidad" tienen algún tipo de contraseña que se encuentra dentro del Top 10, por favor cámbienla inmediatamente.

Bueno pero como el tema de este blog es como lograr contraseñas seguras, a continuación les tenemos unos tips para que los pongan en practica, les prometo que les gustará, pero antes definamos que es una "contraseña segura."

Una contraseña debe tener las siguientes características para ser considerada con un grado de seguridad recomendado.

1. Longitud de la contraseña: Mínimo 8 caracteres.
2. Deben utilizarse letras, números y caracteres especiales.
3. Cámbiela cada 60 días.
No digite su contraseña ó cámbiela si sospecha que alguien lo está observando.

C0N7RA5EÑ45 S36UR45


Una buena práctica para crear contraseñas seguras es cambiar letras por números u otros caracteres así: 
  O  0  t  +
I  1 & ¡  x  *
S  5 Z $
E  3
A  4 @
G  6
T  7
R  |2
C  <   (
H  |-|
B  8
Visite: http://www.google.com/intl/xx-hacker/



Otra buena practica es la siguiente:

Tomar las primeras (segundas, terceras o cualquier) letras de una frase que sea fácil de acordar para usted y añádale un número. Debe ser una frase que le sea familiar, para que la recuerde fácilmente pero que no todo el mundo sepa que usted dice.
A modo de ejemplo:

¿Cual de las siguientes claves es mejor para el señor "Juan Perez" : jperez o Meemdq25?

La segunda clave se creo a partir de las primeras letras de la frase: Me encanta el mote de queso y el señor Juan Perez le puso su numero de la suerte que es el 25: Meemdq25

Esta clave cumple con TODAS las características de una buena clave y es muy fácil de recordar.

Bueno esto es todo por hoy, espero les ayude a mecanizar de forma mas fácil el mundo de contraseñas que tenemos hoy en día y las que nos faltan por tener... 

Recuerden que la seguridad es responsabilidad de todos...

La seguridad en los Data Center’s, diseño e implementacion

Utilizando las mejores practicas Autor: Miguel Arturo Isaza Villar Esp. Seguridad Informática Abstract — ...