Medidas en caso de Robo/Pérdida de un smartphone (iPhones)

9 10 2012

Después de mucho tiempo he decidido actualizar el blog con un post que creo va a ser de mucha utilidad. Recientemente he vivido una situación muy cercana en la que una persona de mi entorno ha perdido un iPhone, este no tenía contraseña de bloqueo y el afortunado/a que se lo ha encontrado, ha podido tener acceso a todo tipo de datos así que hoy abordaremos las medidas que se pudieron haber tomado y que se pueden tomar en un futuro para evitar situaciones así:

  • Medidas a tomar antes de la pérdida/robo:
    1. Bloqueo con Código. En Ajustes > General > Bloqueo con código, pondremos un código a nuestro teléfono, las opciones óptimas son Solicitar Inmediatamente y abajo del todo Borrar datos. Después en Ajustes > General > Bloqueo automático, elegiremos una frecuencia de tiempo razonable a nuestro uso o lo podemos dejar en Nunca y así cada vez que bloqueemos nosotros manualmente el teléfono se activara.
    2. Activar iCloud. Este es un servicio de pago (gratis los primeros 5gb) que te permitirá localizar tu iPhone si se ha perdido, borrar los datos en remoto, bloquearlo, copias de seguridad… tenéis mas información en las paginas oficiales de iCloud y Apple.
    3. Backup de las fotos/videos. Los backups nunca los hacemos, siempre somos perezosos con ese tema pero es algo vital si queremos tener nuestras fotos guardadas, aquí he de hacer hincapié en un aspecto, Las fotos/videos embarazosas, de índole sexual o privadas se pueden llegar a ver incluso con el teléfono bloqueado, por ello es mejor no tenerlas en el móvil o utilizar alguna aplicación que oculte los archivos. (en la App Store hay varias aplicaciones que lo hacen) o activar el servicio iCloud.
    4. Backup de los contactos. Es primordial si no queremos perder todos nuestros contactos, la opción mas útil para mi es sincronizarlos con un servicio externo, iTunes permite sincronizar nuestros contactos con Google Contacts, Windows Contacts y Yahoo! Address Book. En este enlace podéis ver los pasos a seguir para realizarlo con Google Contacts ó también a través de iCloud citado en el punto 2.
    5. Guardar la referencia de nuestro teléfono. Esto significa que de debemos anotar en lugar seguro (no en el teléfono obviamente) el IMEI del mismo (pulsando *#06#) y el número de serie, ambos los podemos encontrar dentro del menú en Ajustes > Información. Gracias a esto podremos recuperarlo si la policía lo encuentra y bloquearlo más fácilmente en caso de pérdida o robo.
    6. No almacenar información sensible. Fotos del DNI, pasaporte, datos de la cuenta bancaria, archivos pdf con tarjetas de embarque, resguardo de compras, fotos de la tarjeta de coordenadas del banco. Todas estas cosas que no se usen se deben borrar y si se usan, guardarlas en algún programa que oculte o proteja los archivos.
  • Medidas a tomar después de la perdida/robo:
    1. Llamada al operador para bloquear el teléfono por IMEI.
      1. Movistar (España). Llamar al 1004 y seguir los pasos que nos indique el operador.
      2. Orange (España). Llamar al 1414 y opción 2, pulsas 1 y por último 3 e introduciendo el número de teléfono Orange particular que te pedirá la locución. Después, para bloquear la línea eliges la opción 3 y luego la 1.
      3. Vodafone (España). Llamar al 607 123 000 y seguir los pasos que nos indique el operador.
      4. Yoigo (España). Llamar al 622 622 622 y seguir los pasos que nos indique el operador.
    2. Cambiar el password de la cuenta de correo asociada al móvil. Debemos recordar que cuentas de correo teníamos sincronizadas con el móvil y cambiar las contraseñas de inmediato. Gmail además nos ofrece la posibilidad de ver las ultimas direcciones IP desde donde nos hemos conectado.
    3. Cambiar el password y cerrar las sesiones abiertas de las aplicaciones sociales que teníamos instaladas. Esto es cambiar el password y cerrar las sesiones de Facebook, Twitter, Tuenti, Instagram…
    4. Whatsapp y Viber. Es curioso el uso que damos a estas aplicaciones y lo inseguras que se vuelven cuando las perdemos. Debemos de conseguir otro teléfono en el cual se puedan utilizar estas aplicaciones y con la tarjeta duplicada que nos ha dado el operador reinstalarlas usando nuestro número de teléfono. En teoría ya no estarían activas en nuestro teléfono perdido/robado. Esta es la única solución que estas aplicaciones nos ofrecen para estos casos ya que no disponen de servicio online para cerrar las sesiones abiertas o cancelar las cuentas a día de hoy.

El gran debate de siempre en el mundillo de la seguridad informática, Seguridad contra Facilidad al usuario. A mi entender estas medidas no resultan muy engorrosas, tampoco nos cuesta tanto teclear el código cada vez que queramos usar el móvil y ese simple gesto, y esos segundos que perderemos nos ahorraran muchos minutos y horas de problemas.

Nadie es consciente de estas cosas hasta que le pasan, por eso recomiendo que hagan uso de estos consejos tanto los que leáis esto como todos los usuarios de smartphones de vuestro entorno. Como siempre cualquier aporte o mejora es bienvenida.





iPhone y iPad cambiar password por defecto

15 10 2010

El acceso a las entrañas del dispositivo se realiza por una conexión cifrada mediante el protocolo SSH, por defecto el usuario es root y la contraseña alpine. Si no cambiamos esto, alguien podría entrar en nuestro teléfono y adueñarse de él (sobretodo en redes wifi). Para evitar esto procederemos de la siguiente manera:

  • Desde Cydia, instalamos el programa OpenSSH

  • Con Installous, descargamos la aplicación iSSH:

Una vez instaladas las dos aplicaciones (OpenSSH e iSSH) lanzamos iSSH. Pulsamos sobre “Add Configuration” y ponemos SSH como nombre, 127.0.0.1 como host y 22 como puerto. Volvemos a la pantalla principal y nos conectamos pinchando sobre el nuevo elemento creado SSH, aparecerá una consola negra que nos pedirá usuario “root” y contraseña “alpine“. Una vez dentro de la consola tan sólo tendremos que escribir el comando passwd el cual nos pedirá dos veces la nueva contraseña del dispositivo, con esto ya lo tendremos protegido de posibles intrusos.





Tarjeta Alfa 2W AWUS036NH inyectando

1 06 2010

Hoy voy a explicar como he logrado hacer que funcione la nueva tarjeta alfa de 2w con chipset rt3070 en backtrack 4 (o ubuntu):

  1. Descargar el kernel precompilado desde este enlace http://rapidshare.com/users/5XTL4C o también desde 1 y 2 (ATENCION este kernel no está compilado por mí y por seguridad se debería ver el código)
  2. Instalamos ambos con dpkg -i
  3. update-initramfs -k 2.6.33-wl -c
  4. update-grub
  5. Descargar en: http://www.ralinktech.com/support.php?s=2 el driver: Firmware RT28XX/RT30XX USB series (RT2870/RT2770/RT3572/RT3070)
  6. Tras descomprimir el driver: sudo mv rt2870.bin /lib/firmware
  7. sudo nano /etc/init.d/blacklist (o blacklist.conf) y añadir “rt2870sta” al final del archivo
  8. Guardar y reiniciar
  9. Asegurarse la instalación del módulo con: sudo modprobe rt2800usb

Tras estos pasos ya tendremos operativa la tarjeta y funcionando la inyección.





Protege tu privacidad en Facebook

21 01 2010

Las redes sociales se han convertido en una herramienta de uso cotidiano casi imprescindible.

Reencontrarte con amigos del colegio, de ciudades donde has vivido, compañeros de vivencias pasadas y un largo etcétera con los que compartir tus inquietudes, aficiones, fotos… pero ¿con quién más compartes esos datos? Seguramente que uno no se ha parado a pensar la cantidad de datos privados que estamos exponiendo al utilizar estas redes sociales y ese punto lo vamos a cubrir en este post.

Seguridad en Facebook.

Facebook tiene muchas opciones para modificar los datos privados de cada uno así que vamos a configurar nuestro perfil:

Una vez dentro de nuestra cuenta, pulsamos el botón de configuración que se encuentra en la esquina superior derecha de la pantalla y elegiremos la opción “Configuración de privacidad”.

  • Información del perfil: La configuración idónea es marcar todas las casillas con “Solo mis amigos”.

  • Información de contacto: Aquí se debería marcar todo como “Solo yo” salvo excepciones como “Enviarme un mensaje” poniéndolo a “Todos” y si queremos o no mostrar nuestro correo.

  • Aplicaciones y sitios web: Este es el más importante de todos, es altamente recomendable borrar todas las aplicaciones que no usemos verdaderamente.

  • Elegiremos la primera opción “Información que compartes” y editaremos las configuraciones de cada aplicación eligiendo “Solo mis amigos” como valor óptimo.

  • Una vez configuradas las aplicaciones volveremos al menú para elegir la segunda opción “Qué información sobre ti pueden compartir tus amigos” y en ella lo mejor es desmarcar todas las casillas.

Con esto habremos terminado de privatizar nuestro perfil aunque recuerda dos cosas, Facebook siempre mostrará lo que tu quieras que muestre y las aplicaciones tienen muchas opciones de las que uno no se percata.

Espero que sea útil.





Trucos de seguridad

29 10 2008

Hola a todos/as, el presente artículo trata de mostrar los errores más comunes de seguridad que cometemos los usuarios así como consejos útiles para proteger un poco más nuestra vida digital.

1. Nuestra Máquina:

El pc de tu casa, el del trabajo o el portátil, deberían de estar protegidos de los posibles intrusos físicos, es decir, de toda aquella persona ajena a tí que quiera utilizar tus equipos (especialmente el portátil).

El primer paso importante a dar a la hora de proteger el equipo es ponerle una contraseña a la BIOS. La BIOS es el programa de gestión a nivel hardware de un ordenador desde el cual, se pueden configurar múltiples opciones del sistema que no nos interesa que nadie más que nosotros utilicemos, por tanto, dentro de la BIOS a la cual se accede en el inicio del ordenador (normalmente pulsando la tecla F12 o Del) deberemos seleccionar la pestaña de seguridad, security… y ahí, establecer la contraseña a la BIOS.

Una vez protegida la BIOS, dentro de ella también suele existir la posibilidad de poner contraseña al sector de arranque del disco duro, es decir, al iniciarse el ordenador, cuando intente cargar el sistema operativo (Windows, Linux, Mac… ) nos saldrá una ventana pidiéndonos un password. He de decir que esta opción es bastante engorrosa ya que cada vez que se inicie el ordenador debermos teclear la password pero es de una gran utilidad para los equipos portátiles ya que inutiliza en gran parte el equipo (junto con la protección de la bios) en caso de robo.

Por último en el apartado de protecciones físicas hay que destacar dos grandes puntos. Utilizar contraseñas seguras (tema del cual se habla al final del artículo) y otro muchísimo más importante que se trata de NO ESCRIBIR EN PAPEL LA CONTRASEÑA, es increíble la cantidad de empleados que en sus puestos de trabajo, tienen un post-it pegado al monitor con la contraseña del equipo.

2. Nuestro Sistema Operativo:

No voy a ponerme a explicar los casos particulares de cada sistema operativo ya que podría tirarme aquí días y días escribiendo, por lo tanto voy a dar una idea general de la seguridad en los sistemas operativos:

Lo más importante y principal es cambiar las contraseñas de la cuenta de Administrador del sistema, en los sistemas Windows, la gente suele ponerlo en blanco y en los sistemas Linux el administrador (root) suele tener la misma contraseña que el usuario principal. El acceder a un sistema como Administrador (root en Linux) nos permite tener un control absoluto de él cosa poco agradable para el usuario. Para ello lo mejor es proteger los equipos creando cuentas de usuario, limitando a aquellos según el uso que le deban dar (filtrados de web para los niños, prohibir la instalación de programas o internet para los trabajadores…) todos estos procedimientos siempre deben hacerse utilizando contraseñas seguras.

3. Nuestra Vida Online:

Este campo es bastante extenso ya que el uso y disfrute de la red es muy variado dependiendo del usuario asi que me voy a centrar en algunos casos en concreto:

Correo electrónico:

Raro es hoy en día quien no tiene email y raro también es el que cambia cada mes su contraseña. Es primordial concienciarse que la red NO es segura, mentalidades como “a mi que me van a mirar”, “yo no tengo nada interesante”, “que se metan si quieren” no son beneficiosas. El obtener una dirección de correo puede servir como tapadera a un ciberdelincuente para registrarse en sitios, hacer compras online y demás todo a cuenta nuestra. Con esto no quiero infundir el pánico entre los usuarios pero sí crear una conciencia de seguridad que actualmente no se tiene.

Lo principal es tener una contraseña segura (ver el último apartado), esta claro que de nada nos servirá si la apuntamos en un papel y la dejamos a la vista de todo el mundo. Lo segundo que deberiamos hacer es echarle un vistazo a la famosa “pregunta secreta”; de nada nos sirve utilizar una buena contraseña segura si luego tenemos como pregunta secreta “Cual es el nombre de mi mascota”, “Año de nacimiento” y así un sinfín más. Lo mejor es utilizar respuestas seguras (ver el último apartado) y cambiarlas al igual que la contraseña principal como mínimo cada dos meses.

Programas P2P:

eMule, Azureus, Bittorrent, Ares… y asi una multitud de programas que utilizamos para bajarnos copias de seguridad de los contenidos que legalmente hemos comprado o para descargar software libre. Todos estos programas tienen una premisa en común, “compartir“. Esta palabra tan inocente resulta una bomba de relojería cuando no sabemos configurar bien el programa y a la hora de seleccionar la carpeta a compartir marcamos por ejemplo “todo el disco duro”. Es un error que aunque parezca mentira, muchísima gente comete con lo cual, están dando pleno acceso a su sistema (archivos, fotos, documentos, contraseñas…) por lo tanto no esta de más echarle un ojo a nuestra configuración y optimizar todos estos programas creando una única carpeta (descargas por ejemplo) donde se almacene todo el contenido a compartir para estos programas, además, podemos proteger un poco más el sistema si creamos una tarea en la cual el antivirus haga pasadas continuas cada hora a esa carpeta para verificar que no tienen ningún tipo de infección.

Direcciones secundarias:

Tanto los correos electrónicos como las redes sociales (myspace, livejournal, flickr, twitter…) tienen una opción en su configuración para que en caso de olvido o pérdida de la contraseña, se pueda enviar un mail a la cuenta secundaria para recibir uno nuevo pero… ¿que sucede si un atacante tiene en su poder nuestra cuenta secundaria? la respuesta es sencilla, puede rellenar los formularios de todos los sitios donde nos hemos registrado y pedir que manden las contraseñas a la cuenta secundaria y asi poder suplantar nuestra identidad.

4. Contraseñas seguras:

Por fín llegamos al cerebro de la bestia, la caja de pandora o cualquier apelativo curioso y llamativo que se le quiera dar porque aquí reside lo más importante de todo, saber como crear una buena contraseña.

Por definición, se suele entender que una contraseña segura es aquella de entre 8 y 14 carácteres, siendo estos números, letras mayúsculas,minúsculas y símbolos.

Por ejemplo: El3scud0D[g[t4l (Aquí he utilizado Elescudogital como contraseña, cambiando algunas letras por números que se parecen (3 y E, O y 0, A y 4), usando algunas mayúsculas y también algunos símbolos.

Esta claro que nunca debemos usar fechas, documentos de identidad, nombres, ciudades, números de telefóno, matrículas de coche, películas, colores, alimentos… es decir, nada que sea legible.

Los atacantes para poder vulnerar las contraseñas, utilizan en su mayoría diccionarios para usar con programas que prueban una tras otra las palabras del diccionario. Actualmente se pueden encontrar diccionarios de todo tipo (nombres, fechas, lugares, matriculas…) así que de ahí viene la utilidad de las contraseñas seguras aunque todo esto tiene un gran incoveniente:

Vale que he dicho que hay que usar contraseñas de entre 8 y 14 carácteres, que no sean palabras, que sean ilegibles, que no las apunte en ninguna parte, que las cambie cada dos o tres meses, que sean diferentes unas de otras pero… ¿como consigo yo acordarme de ella? La respuesta es sencilla y requiere un mínimo de memoria, utiliza frases que te acuerdes modificadas:

Ejemplos: M3gust43lch0c0l4t3, Tengo1Hijoy2Hijas, ViVoEnM@dRiD…

Para concluir dejo dos enlaces bastante útiles, se tratan de un Generador de contraseñas seguras y un Comprobador de contraseñas.

Pues nada, hasta aquí esta pequeña guía para hacer un poco más segura nuestra vida digital, si se me ocurren más cosas o las aportáis bienvenidas (y publicadas) serán.