SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Security 101

SEGURIDAD 101: UN TESAURO 2018 PARA INFOSEC

Se presta mucha atención a la seguridad de la información en el ecosistema conectado digitalmente de hoy en día, y realmente es la necesidad de la hora; a continuación, puedes encontrar respuestas a algunos de los temas más pertinentes sobre seguridad informática.

Slava Ivanov, Ingeniero de Software Distinguido en Echoworx, con sus años de experiencia progresiva en la entrega de soluciones de seguridad para resolver desafíos comerciales, junto con su sólido conocimiento de los ciclos de desarrollo de software se ha comprometido a desarrollar un diccionario de sinónimos (Tesauro) 2018 para la seguridad de la información.

 

OCTUBRE |

 

P: ¿QUÉ ES EL SPYWARE?

R: El Spyware es un tipo de software malicioso que se instala en su computadora, a menudo sin que usted lo sepa. Está diseñado para monitorear sus actividades y recolectar y reportar datos a compañías para fines de mercadeo. La recolección de datos a menudo incluye su información personal, como su nombre, dirección, hábitos de navegación, preferencias, intereses y descargas. Además de ser una invasión de privacidad, este software puede causar serios problemas de rendimiento.

P: ¿QUÉ ES EL ATAQUE DE CUMPLEAÑOS?

R: El Ataque de Cumpleaños es un tipo de ataque de fuerza bruta basado en la paradoja del cumpleaños, la cual dicta que, de 253 personas en una habitación, hay un 50% de posibilidad de que alguien tenga su misma fecha de nacimiento; sin embargo, solo 23 personas necesitan estar en la habitación para que haya un 50 % de probabilidad de que 2 personas cualquiera compartan el mismo cumpleaños. Esto es porque los emparejamientos se basan en pares. Este fenómeno estadístico también aplica para encontrar colisiones en algoritmos de hasheo porque es mucho más difícil encontrar algo que colisione con cualquier hasheo que encontrar dos ingresos cualesquiera que tengan el mismo valor de hasheo.

P: ¿QUÉ ES LA POLÍTICA DE MISMO ORIGEN?

R: En informática, la Política de Mismo Origen es un mecanismo de defensa del navegador que garantiza que ciertas condiciones se cumplan antes que algún contenido (usualmente JavaScript) sea ejecutado cuando se lo obtiene de cualquier aplicación web. Bajo esta norma, el navegador permite que un script de una página acceda a información en otra página solo cuando ambas tienen el mismo origen; ya que el origen es una combinación de protocolo de recursos de red, dominio y puerto.

 

SEPTIEMBRE |

 

P: ¿SON LOS PROYECTOS DE CÓDIGO ABIERTO MÁS SEGUROS QUE LOS DE PROPIETARIOS?

R: Un concepto erróneo muy común es que los proyectos de código abierto son más seguros, ya sea porque todos pueden inspeccionar el código fuente, o porque tantos ojos están viéndolo. Y, viceversa, un producto comercial de una bien conocida compañía es más segura porque todos confían en ella. La seguridad del proyecto proviene de una combinación de muchos factores, incluyendo cuantos desarrolladores están trabajando en él, cuáles son sus antecedentes, control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones horriblemente inseguras provenientes de ambos campos.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: La Falsificación de Petición de Sitios Cruzados (Cross-site Request Forgery) es el tipo de ataque en una página web donde un intruso se hace pasar por un usuario de confianza. Por ejemplo, la etiqueta de una imagen en una página web puede estar comprometida y dirigir a una URL asociada con una acción; cuando el usuario carga la página, el navegar ejecuta esta acción y el usuario puede no estar al tanto de que tal ataque ocurrió. El ataque puede ser usado para modificar la configuración del cortafuegos, publicar información no autorizada en un foro o realizar transacciones financieras fraudulentas.

P: ¿POR QUÉ MI IDENTIDAD PKI INCLUYE DOS CLAVES?

R: un par de claves públicas y privadas es un par de claves asimétricas que realizan las funciones de cifrado/descifrado de una transmisión segura de datos. La Clave Pública es pública y está disponible para todos. Por otro lado, el respectivo dueño de la Clave Privada debe mantenerla confidencial. Al encriptar datos, se usa la clave pública del destinatario – y solo el receptor podrá descifrarla. Al firmar, la clave privada se usa para confirmar la identidad del remitente.

P: ¿QUÉ ES LA FALSIFICACIÓN DE PETICIÓN EN SITIOS CRUZADOS?

R: la Falsificación de Petición en Sitios Cruzados (CSRF) es un tipo de ataque que se lleva a cabo en un sitio web donde un intruso se camufla como usuario legítimo y de confianza. Por ejemplo, una etiqueta de imagen de página web puede estar comprometida y dirigir hacia una URL asociada con alguna acción; cuando el usuario carga esta página, el navegador ejecuta esta acción y es posible que el usuario no sepa que dicho ataque se produjo. El ataque puede usarse para modificar la configuración del firewall, publicar datos no autorizados en un foro o realizar transacciones financieras fraudulentas.

P: ¿SON LOS PROYECTOS DE FUENTE ABIERTA MÁS SEGUROS QUE LOS PRIVADOS?

R: un concepto erróneo común es que los proyectos de fuente abierta son más seguros, ya sea porque cualquiera puede inspeccionar el código fuente o porque muchos ojos lo están viendo. Y viceversa, se cree que un producto comercial de una empresa conocida es más seguro porque todos confían en ella. La seguridad del proyecto proviene de una combinación de varios factores, incluyendo cuántos desarrolladores están trabajando en él, cuáles son sus antecedentes, el control de calidad del proyecto, etc. Hay muchos ejemplos de aplicaciones terriblemente inseguras que provienen de ambos campos.

P: ¿ES ATAQUE “DOS” O “DDOS”?

R: Un ataque denial-of-service (DoS) es un tipo de ciber ataque diseñado para hacer que una computadora o red sea inaccesible para sus usuarios al perturbar los servicios de un host. Esto se hace habitualmente inundando al host con una abrumadora cantidad de paquetes para sobresaturar la capacidad de los servidores, resultando en “negación de servicio” o en desbordamiento de búfer de memoria, lo que puede causar que el host consuma espacio del disco, memoria o tiempo de CPU. Un ataque distributed denial-of-service (DDoS) es análogo al DoS, pero el tráfico vendría de distintas fuentes, lo cual lo hace imposible de prevenir bloqueando una sola fuente de ataque.

 

AGOSTO |

 

P: YO USO GOOGLE CHROME, ¿Y TÚ?

R: Hoy en día hay muchos exploradores disponibles para elegir: Chrome, con su motor de búsqueda Google incluido; Edge, con su habilidad de hacer notas en la misma página; Firefox, con su opción de continuar leyendo las paginas donde las dejaste en otro dispositivo; Safari, que está perfectamente especializado para dispositivos móviles. No importa cuál sea tu criterio para elegir el explorador de Disfrute una navegación segura.

P: ¿QUÉ ES UN CERTIFICADO DIGITAL?

R: En criptografía, un Certificado Digital es una forma de identificación electrónica muy similar a su pasaporte o licencia de conducir. Proporciona información sobre su identidad y es emitido por una autoridad de certificación (CA) por un período de tiempo específico. La CA garantiza la validez de la información incluida en el certificado. El formato más común para certificados digitales está definido por el estándar X.509. Hay una variedad de áreas donde se usan los certificados: SSL / TLS, S / MIME, firma de código, etc.

P: ¿A QUÉ SABEN LAS COOKIES DE LAS COMPUTADORAS?

R: Una cookie es un archivo pequeño proveniente de un sitio web que se almacena en su computadora mediante un navegador web. La parte deliciosa de la cookie es que puede almacenar, por ejemplo, información de inicio de sesión, código postal, etc. para que no la tenga que ingresar una y otra vez. La parte más amarga es que puede hacer un seguimiento de sus hábitos que las redes publicitarias pueden utilizar. El sabor desagradable viene cuando una cookie que transporta información sensible es interceptada por un pirata informático. Limpie las cookies con regularidad, mantenga actualizado su software antivirus y visite sitios web de confianza – ¡Disfrute del buen sabor de las cookies!

P: ¿QUÉ SIGNIFICA SSO?

R: SSO significa Single Sign-On (Inicio de sesión único). Con el inicio de sesión único, el usuario puede autenticarse una vez y luego usar múltiples sistemas o aplicaciones sin tener que iniciar sesión de nuevo. Sin SSO de ningún tipo, los usuarios pueden tener que recordar un nombre de usuario y contraseña diferente (credenciales diferentes) para cada sistema utilizado. Esto lleva al usuario a utilizar contraseñas cortas, simples o similares para cada recurso.  Para reducir la fatiga de la contraseña, el tiempo para volver a ingresar la información de identidad, las solicitudes de “contraseña olvidada”, etc., muchas organizaciones están implementando el inicio de sesión único.

P: ¿QUÉ ES S/MIME?

R: S/MIME (Extensiones seguras multipropósito de correo de Internet) es el estándar para proteger mensajes MIME que lleva la comunicación SMTP al siguiente nivel al permitir que se use el protocolo de correo electrónico ampliamente aceptado sin comprometer la seguridad. Utiliza PKI (Infraestructura de clave pública) para encriptar y/o firmar los datos. S/MIME proporciona beneficios de servicios criptográficos en el correo electrónico: confidencialidad e integridad de datos con encriptación de mensajes; autenticación y no repudio con firma digital.

 

JULIO |

 

P: ¿QUÉ ES MIME?

R: MIME (Extensiones multipropósito de correo de Internet) es el estándar de Internet que define cómo debe formatearse un mensaje para transferirlo entre diferentes sistemas de correo electrónico. MIME es un formato muy flexible y permite la inclusión de prácticamente cualquier tipo de datos, como texto, imágenes, audio, aplicaciones, etc. Con la codificación adecuada, MIME también puede manejar mensajes escritos en idiomas internacionales. MIME está diseñado para comunicaciones SMTP, pero muchas definiciones del estándar son ampliamente utilizadas en los protocolos de comunicación WWW.

P: ¿QUÉ ES EL TABNABBING (CAPTURA DE PESTAÑAS)?

R: El Tabnabbing, también conocido como Tabjacking, es un ataque de phishing (robo/suplantación de identidad) que aprovecha el descuido del usuario al tener abiertas múltiples pestañas en su navegador para robar información delicada. Por ejemplo, has abierto la pagina afectada por el exploit (la vulnerabilidad) junto con otras pestañas en el navegador. Si el script de la pestaña maliciosa detecta inactividad, la página se refrescará y exhibirá, por ejemplo, una falsa página de inicio de sesión de Gmail en su lugar. Debido a la falta de atención a las pestañas abiertas, el usuario podría ingresar las credenciales solicitadas y éstas serían robadas por los criminales.

P: ¿CÓMO PUEDE UNA VPN (RPV – red privada virtual) MEJORAR MI PRIVACIDAD Y SEGURIDAD?

R: Una VPN (Virtual Private Network/Red privada virtual) extiende una red privada (por ejemplo, la red de una compañía) a través de una red pública, (por ejemplo, Internet) y habilita a los usuarios a acceder a los recursos de la red privada como si estuvieran directamente conectados a esta. Una VPN usa tecnología de encriptación para encriptar el tráfico de la red, por lo que si un atacante se hiciera con los packets (paquetes), solo obtendría datos encriptados. A su vez, detecta modificaciones en los datos transmitidos y asegura su integridad. Una VPN usa autenticaciones para prevenir accesos no autorizados a los recursos de la red.

P: ¿ES “PHARMING” OTRA PALABRA ERRÓNEA MÁS?

R: El Pharming es un tipo avanzado de cibercrimen, similar al phishing, que combina el significado de las palabras “phishing” y “farming” (cultivar). El propósito usual del pharming es obtener nombres de usuario y contraseñas de minoristas o bancos en internet, sin la necesidad de utilizar correos o hipervínculos maliciosos. Ingresas a un recurso de red bien conocido, como siempre, pero terminas en el sistema del hacker – diseñado para asemejarse a un sitio web legítimo. Una de las técnicas usadas en un ataque de pharming es corromper los servicios DNS (Sistema de Nombres de Dominio, o SND) en el sistema de la computadora a través de un código malicioso conocido como envenenamiento del caché DNS.

 

JUNIO |

 

P: ¿CÓMO REALIZAR PAGOS EN LÍNEA DE FORMA SEGURA?

R: Hay algunas cosas que debe considerar cuando compra en línea: 1. Asegúrese de que el sitio web minorista utilice una conexión SSL y que el negocio sea confiable. 2. Siempre elija las transacciones con tarjeta de crédito sobre usar débito. 3. No realice pagos cuando esté conectado a una red Wi-Fi pública. 4. Considere optar por no almacenar la información de su tarjeta de crédito en el sitio web de un minorista, incluso si lo usa con frecuencia. 5. Nunca ingrese su código PIN o contraseña bancaria al completar una transacción. La última palabra: Revise el resumen de su tarjeta de crédito con regularidad, regístrese para recibir notificaciones de transacciones si es posible y manténgase a salvo.

P: ¿CÓMO ESTAR SEGURO EN EL WI-FI DE STARBUCKS?

R: Para mantenerse seguro mientras usa una red Wi-Fi pública, use solo una conexión segura (SSL) a los sitios web en los que confía. Evite el uso de nombres de usuario y contraseñas personales, incluso para revisar su correo electrónico, ya que los hackers pueden monitorear redes Wi-Fi no protegidas y su información podría ser robada. Desactive las opciones Compartir Archivos y AirDrop, y verifique que el firewall de su computadora portátil esté habilitado. Para una mejor protección, asegure y encripte su conexión mediante el uso de una red privada virtual (VPN), un túnel digital seguro para su dispositivo.

P: ¿QUÉ ES IOT DE TODOS MODOS?

R: El Internet de las cosas (IoT, por sus siglas en inglés) es un ecosistema de dispositivos conectados que pueden comunicarse con nosotros y entre ellos, a través de Internet. Un termostato inteligente, controlable desde nuestros teléfonos y tabletas, por ejemplo, es un dispositivo bien conocido conectado a IoT. Todo en estos días es “inteligente”, desde simples sensores y actuadores hasta refrigeradores y automóviles. El futuro de IoT es muy emocionante y revoluciona la forma en que vivimos, haciendo que ciudades enteras y países funcionen de una manera más inteligente y eficiente. Realmente es una edad de oro para los dispositivos IoT.

P: ¿QUÉ TAN BIEN NADA BLOWFISH (PEZ GLOBO) EN LA CRIPTOGRAFÍA?

R: Blowfish es un algoritmo de cifrado simétrico diseñado por Bruce Schneieren 1993 como reemplazo de los algoritmos DES e IDEA, que eran más antiguos. Tiene un tamaño de bloque de 64 bits y utiliza una clave de longitud variable, de 32 bits a 448 bits, que es adecuada para usos domésticos y de exportación. Lo que Blowfish hace es dificultar los ataques de fuerza bruta al hacer que la configuración inicial de las claves se vuelva una operación bastante lenta. Este algoritmo no está patentado, no tiene licencia y está disponible de forma gratuita para todos. Blowfish no se debe utilizar para archivos grandes debido a su pequeño tamaño de bloque (64 bits en comparación con el tamaño de bloque de AES, que es de 128 bits).

 

MAYO |

 

Q: ¿SON BLUEJACKING, BLUESNARFING Y BLUEBUGGING NUEVOS MATICES DE BLUE?

R: Bluejacking, el primer ataque a Bluetooth, es el envío de mensajes no solicitados a dispositivos habilitados para Bluetooth. Bluejacking es bastante inofensivo y por lo general está limitado a enviar mensajes de texto, imágenes o sonidos a un dispositivo en específico. Bluesnarfing es más peligroso y va directo a la privacidad de un usuario. Un atacante se conecta a un dispositivo Bluetooth anterior, sin el conocimiento del propietario, y descarga su agenda telefónica, calendario y demás. Bluebugging va más allá, tomando una posesión virtual completa del dispositivo. Una vez conectado, un atacante puede acceder a sus contactos, hacer llamadas, escuchar llamadas, leer sus mensajes y correos electrónicos e incluso rastrear su ubicación, sin su conocimiento.

P: ¿SAML o OAuth?

R: El SAML (Lenguaje de Marcado para Confirmaciones de Seguridad) normalmente se usa cuando la solución requiere un manejo centralizado de identidades; involucra SSO (Inicio de Sesión Único) con por lo menos un usuario enterprise y permite acceder a una aplicación.  OAuth (Autorización Abierta) normalmente se usa cuando una solución permite acceder a recursos tales como cuentas, archivos, etc. o cuando involucra a dispositivos móviles. Ambas tecnologías pueden usarse simultáneamente. Por ejemplo, usar SAML para autenticar y una vez que se procesa el token SAML, usarlo como token portador OAuth para acceder a recursos protegidos por medio de HTTP.

P: ¿CUÁLES SON TIPOS DE DATOS BIOMÉTRICOS?

R: Hay dos tipos principales de biometría: la biometría fisiológica que es algo relacionado con lo que somos, incluidas las medidas, dimensiones y características específicas de nuestro cuerpo. Su cara, ojos, patrón de venas o huella digital son un ejemplo de datos biométricos fisiológicos. La biometría conductual es lo que hacemos y está relacionada con nuestros hábitos personales y movimientos únicos. Su voz, gestos, estilo de caminar y la firma manuscrita es el ejemplo más simple de este tipo de biometría.

P: ¿ES POSIBLE DETENER EL ROBO DE IDENTIDAD?

R: Es casi imposible prevenir del todo el robo de identidad. Sin embargo, es posible reducir el riesgo si se siguen las recomendaciones simples a continuación: 1. Esté al tanto de su configuración de privacidad en las redes sociales. 2. Use contraseñas fuertes y distintas cada vez que crea una cuenta online. 3. No abra correos electrónicos sospechosos ya que podrían ser correos de phishing.  4. No le provea ninguna información a sitios web que no usen conexión SSL. 5. Proteja su PC usando un firewall, un antivirus y un software de protección contra spyware. Manténgalos actualizados.

 

ABRIL |

 

P: ¿POR QUE USAR SAML?

R: El Lenguaje de Marcado de Aserción de Seguridad – SAML (Security Assertion Markup Language) es un estándar abierto que representa un marco basado en XML para compartir información de seguridad sobre identidad, autenticación y autorización en diferentes sistemas. SAML elimina la necesidad de múltiples contraseñas de aplicaciones y servicios al habilitar un intercambio de autenticación basado en tokens. Soluciona el desafío clave al habilitar la funcionalidad de inicio de sesión único (SSO). SAML ahorra tiempo administrativo y aumenta la seguridad con control centralizado sobre autenticación y acceso.

P: ¿QUE ES CONFORMIDAD CON PCI?

R: PCI significa Industria de Tarjetas de Pago (Payment Card Industry) y a menudo va seguida de las siglas DSS (Data Security Standard) que representan el estándar de seguridad de datos. Las empresas que cumplen con PCI deben cumplir de manera consistente con las reglas definidas por el PCI Security Standards Council. Algunos de los cuales son: mantener una política de seguridad de la información; monitorear y mantenga una red segura; implementar fuertes controles de acceso; proteger la información sensible. Los clientes de dichas empresas deberían sentirse seguros y seguros de que sus datos estarán protegidos.

P: ¿QUE ES EL ROBO DE IDENTIDAD?

R: El robo de identidad es un acceso no deseado o no autorizado a su información personal. Una vez que alguien obtiene sus datos personales, puede cometer todo tipo de delitos usándolos, incluidos el fraude en las telecomunicaciones, el lavado de dinero, los delitos informáticos, y otros. Los delincuentes utilizan información aparentemente inofensiva, como su fecha de nacimiento, para obtener acceso a otra información sobre usted, incluyendo su dirección, correo electrónico, lugar de nacimiento, números de seguro y contraseñas. Ten cuidado y protege tus datos mediante el conocer tu privacidad cuando compartes datos confidenciales.

P: ¿QUE ES EL ESTANDAR DE CIFRADO AVANZADO (AES)?

R: El Estándar de cifrado avanzado – AES (Advanced Encryption Standard), es un algoritmo de cifrado de bloque de clave simétrica. AES es un subconjunto del cifrado Rijndael desarrollado por dos criptógrafos belgas, Vincent Rijmen y Joan Daemen. AES es capaz de manejar bloques de 128 bits, con claves de 128, 192 y 256 bits. El tamaño de clave es ilimitado, mientras que el tamaño máximo de bloque es de 256 bits. AES es más seguro y permite un cifrado más rápido que sus predecesores DES y 3DES. En general, AES ha demostrado ser una cifra confiable con el tiempo.

 

MARZO |

 

P: BLUETOOTH: ¿CONVENIENCIA CON PRECIO?

R: Estamos utilizando la tecnología Bluetooth todos los días para conectar nuestros auriculares, rastreadores de fitness, sistema de manos libres del automóvil, etc. Es importante conocer los problemas de seguridad asociados con la tecnología. Bluetooth envía datos de forma inalámbrica donde pueden ser interceptados por las personas equivocadas. Para proteger tu información, considera configurar tus dispositivos como “no detectables” cuando no estén en uso. Nunca aceptes solicitudes de emparejamiento de partes desconocidas. Descarga e instala actualizaciones de seguridad regulares para sus dispositivos.

P: ¿HAY ALGÚN ERROR EN LA PALABRA “PHISHING”?

R: Las estafas de phishing imitan derechos acreditados como bancos, recursos en línea, organizaciones legítimas y autorizadas en un intento de obtener información confidencial como nombres de usuario, contraseñas, detalles de tarjetas de crédito, etc. Se llama Phishing debido a la tradicional tradición hacker de utilizar “PH” en lugar de “F”. Tenga cuidado de no caer en los trucos establecidos por esos Phishermen y evite que lo atrapen en la red de Phish. (fish = pescar)

P: ¿QUE ES EL PROTOCOLO DE INTERCAMBIO DE CLAVES DE DIFFIE HELLMAN?

R: Diffie-Hellman (DH) es un protocolo de intercambio de claves originalmente conceptualizado por Ralph Merkle. Lleva el nombre de Whitfield Diffie y Martin Hellman, dos criptógrafos. DH permite intercambiar claves criptográficas de forma segura a través de un canal público sin tener nada compartido de antemano. Una clave secreta compartida establecida se puede usar para cifrar las comunicaciones subsiguientes. El intercambio DH no proporciona autenticación de las partes y podría ser vulnerable a un ataque de intermediario (Man-in-the-Middle). Se deben considerar variantes de DH con autenticación.

P: ¿QUÉ ES EL SSL HANDSHAKE?

R: La conexión SSL/TLS entre un cliente y un servidor comienza con un “handshake“. Esto incluye algunos pasos: comenzar con la validación de la identidad de la otra parte y concluir con la generación de una clave de sesión común. Primero, el servidor envía una clave pública al cliente para ser utilizada para el cifrado; el cliente genera una clave simétrica, la cifra y la envía de vuelta; luego, el servidor descifra esta clave de sesión usando su clave privada. Ahora el servidor y el cliente están listos para usar esta clave simétrica para cifrar y descifrar la transferencia de datos.

 

FEBRERO |

 

P: ¿ES LA TECNOLOGÍA DE RECONOCIMIENTO FACIAL SOLAMENTE PARA AUTENTICACIÓN?

R: La tecnología de reconocimiento facial ya está ayudando en muchas áreas de nuestras vidas, como la detección de seguridad aeroportuaria, la video vigilancia amigable y sin supervisión, la investigación de escenas del crimen, entre otros. Exploremos cómo se puede usar la tecnología para personalizar los enfoques de mercadotecnia. Puede, por ejemplo, reemplazar una tarjeta de lealtad de una tienda. Cuando ingrese a la tienda, el personal sabrá lo que compró la última vez, le ofrecerá ofertas personales y canjeará sus puntos. La tienda en sí puede adaptar sus ofertas mediante el análisis de datos faciales, como el sexo, la edad y la etnia. Las posibilidades son infinitas.

P: ¿TLS UTILIZA CIFRADO SIMÉTRICO O ASIMÉTRICO?

R: Ambos. TLS utiliza un algoritmo de cifrado asimétrico solo para establecer una sesión segura de cliente-servidor. Para el cifrado asimétrico, el remitente necesita una clave pública para cifrar datos y el receptor necesita una clave privada para descifrarlo. El cifrado de la carga útil masiva requiere velocidad, por lo que se usa un algoritmo de cifrado simétrico para intercambiar información a lo largo de una sesión segura establecida. Para el cifrado simétrico, tanto el emisor como el receptor comparten una única clave simétrica para cifrar y descifrar datos.

P: “OK, GOOGLE” ¿DEBO PREOCUPARME POR MI PRIVACIDAD?

R: Los asistentes habilitados para voz, como Google Home, Amazon Echo, etc., pueden responder a tu pregunta, proporcionar un informe meteorológico, subir el termostato, controlar las luces o incluso pedir una pizza. Esta conveniencia tiene un precio. El asistente siempre está escuchando. Considera usar el botón de “silenciar micrófono” para apagarlo cuando no lo necesites. Cualquiera puede controlar tu dispositivo. Considera no conectar algunos dispositivos del internet de las cosas (IoT), como cerraduras de puertas inteligentes; desactivar las opciones de pago que no se utilizan. Disfruta de tu asistente de hogar digital, pero no lo conviertas en el anfitrión.

P: ¿QUÉ ES LA OFUSCACIÓN?

R: El propósito de la ofuscación o enmascaramiento de datos es evitar que alguien comprenda el significado de algo. En el desarrollo de software, a menudo se usa en el código de la computadora para dificultar la manipulación, la ingeniería inversa o el robo de la funcionalidad de un producto. Es importante comprender que la ofuscación no es como el cifrado, sino más bien como la codificación. Se puede revertir utilizando la misma técnica o simplemente como un proceso manual que simplemente lleva tiempo.

P: ¿QUE SON LOS FACTORES DE AUTENTICACIÓN

R: Hay tres categorías principales de Autenticación:

  • El conocimiento es algo que tú conoces, por ejemplo, un simple nombre de usuario y contraseña;
  • La posesión es algo que tienes, puede ser tu tarjeta de acceso o llavero;
  • La inherencia es algo que eres, tu característica biométrica, como la huella dactilar.
    A veces, tu ubicación se considera un 4º factor. La autenticación multifactor aumenta significativamente la seguridad, pero obviamente tendrá un impacto en la experiencia del usuario.

 

ENERO |

 

P: ¿QUÉ ES LA CODIFICACIÓN DE DATOS?

R: En tecnología informática, la codificación transforma los datos originales en otro formato para que pueda ser transferido y consumido por diferentes sistemas. Por ejemplo, usar la codificación binario-a-texto en Base 64 para enviar archivos binarios por correo electrónico. La codificación utiliza algoritmos disponibles públicamente y se puede revertir (decodificar) fácilmente. El objetivo principal de la codificación no es mantener la información en secreto, sino asegurarse de que se consuma de forma segura y adecuada.

P: ¿ES LA BIOMETRÍA LA ÚLTIMA SOLUCIÓN DE AUTENTICACIÓN?

R: La biometría es el término técnico para las métricas relacionadas con las características humanas, como su huella dactilar, voz, iris del ojo, etc. Muchos productos de consumo han adoptado la biometría para la autenticación por conveniencia del usuario, mientras que los productos de grado empresarial están optando por máxima seguridad de la información. El factor de autenticación principal es el conocimiento, como una contraseña o PIN. Los datos biométricos nunca fueron diseñados para ser el secreto. ¿Te imaginas usando guantes todo el tiempo?

P: ¿EL RECONOCIMIENTO FACIAL ES MÁS SEGURO QUE LA IDENTIFICACIÓN DE HUELLA DIGITAL?

R: Apple afirma que hay un 1 en un millón de posibilidades de que alguien pueda desbloquear tu dispositivo usando Reconocimiento Facial en comparación con 1 en 50000 posibilidades de que alguien tenga la misma huella digital que tú. ¿Esto significa que la seguridad de Reconocimiento Facial es 20 veces mayor? Lo importante a recordar es que el Reconocimiento Facial y la Identificación de huella digital son aspectos más sobre conveniencia y diseño que sobre seguridad. Tu contraseña (PIN) siempre será el mayor punto de debilidad en tu dispositivo. Entonces, lo mejor es hacerlo fuerte.

P: ¿QUE ES “HEXADECIMAL”?

R: Los números hexadecimales (hex o base-16) son ampliamente utilizados en informática y matemática como representación de valores binarios. Cada dígito hexadecimal representa cuatro bits o medio byte. 16 símbolos únicos del 0 al 9 y de la A a la-F se utilizan para representar un valor.

HEX.jpgEste color púrpura tiene un número hexadecimal HTML #7334A4
#73(hex) es (7×16) + (3×1) = 115 (decimal) de rojo
#34(hex) es (3×16) + (4×1) = 52 (decimal) de verde
#A4(hex) es (10×16) + (4×1) = 164 (decimal) de azul
En el espacio RGB, nuestro color será RGB (115, 52, 164)

Esta es una versión muy condensada de los muchos términos de seguridad y acrónimos en uso hoy en día, pero esperamos que ayude. No te pares ahora. Obtén información sobre cómo puedes usar el cifrado para crear comunicaciones de confianza con documentos, informes, seminarios web y videos.

RECURSOS DE CIFRADO