lunes, 20 de julio de 2009
Administracion de Riesgos de Informacion
Esta es la presentación en Powerpoint sobre "Administración de Riesgos de Información", que di el viernes 24/07/2009 en el Seminario de Auditoria y Seguridad Informática Organizada por la APACSI y el Capítulo Asunción de ISACA:
jueves, 11 de junio de 2009
Checklists de Seguridad para Routers, Firewalls y Equipos
Este es una lista de checklists de seguridad que publicó el NIST (National Institute of Standars and Technology) de EEUU. Es imposible que de buenas a primeras nos acordemos de todas las configuraciones de seguridad que tenemos que realizar a los equipos, para eso son muy útiles los checklists:
Esta es otra lista de checklist de seguridad la IASE (Information Assurance Support Environment):
Guias de Configuración de Seguridad para distintos dispositivos elaborada por la NSA/CSE (National Security Agency/Central Security Service):
Lista de recursos gratuitos del instituto SANS (SysAdmin Audit Network Security). Hay muchísima información sobre auditoría, guias de seguridad, guías de estudio, whitepapers de herramientas, guias de Sistemas de Detección de Intrusos, etc.
También el SANS institute nos ofrece una buena cantidad de guías para elaboración de Políticas de Seguridad:
Observación:
- El SANS es un instituto dedicado a la investigación, enseñanza y certificación en redes, auditoría y seguridad. Nuclea a más de 165 mil profesionales del mundo entero en esas áreas.
- El NIST es una agencia federal de los EEUU que desarrolla y promueve las mediciones, normas y tecnología.
- La NSA es la Agencia Nacional de Seguridad de los EEUU, encargada de promover y velar por la seguridad especialmente en todo lo que se refiera a comunicaciones, sistemas de información y tecnología.
- El IASE es una agencia para el aseguramiento de la información que está al servicio del Departamento de Defensa de los EEUU.
Lic. Alfredo Zuccotti, CISM, CISSP
Certified Information Security Manager - (ISACA)
Certified Information System Security Professional - (ISC)²
Security Manager
Chequeo de Cumplimiento ISO 27001:2005
La mejor forma de hacer un Plan de Seguridad de Información para cualquier empresa, es tomar el estándar ISO 27001 y tratar de hacer una evaluación de la situación actual, un análisis de brecha (ver qué es lo que falta) y luego un plan de cumplimiento a corto y largo plazo.
Aquí pongo una planilla que realizó Vinod Kumar (un especialista hindú de seguridad ISO 27001 Certified Implementer) en inglés, yo me tomé el trabajo de traducirla al español.
La primera hoja de la planilla tiene una serie de preguntas que debemos contestar con un porcentaje de aplicación, que va del 0 al 100. Una vez que terminamos de completar la primera hoja, las demás se llenan automáticamente, mostrandonos distintos gráficos y porcentajes de cumplimiento en los 11 dominios de la norma ISO 27001.
Aquí pongo una planilla que realizó Vinod Kumar (un especialista hindú de seguridad ISO 27001 Certified Implementer) en inglés, yo me tomé el trabajo de traducirla al español.
La planilla es una herramienta muy interesante porque permite realizar una autoevaluación para ver cuales puntos estamos flojos en la seguridad de la empresa, también es una guía muy útil para realizar un plan de seguridad de conformidad al cumplimiento de la citada norma ISO.
La primera hoja de la planilla tiene una serie de preguntas que debemos contestar con un porcentaje de aplicación, que va del 0 al 100. Una vez que terminamos de completar la primera hoja, las demás se llenan automáticamente, mostrandonos distintos gráficos y porcentajes de cumplimiento en los 11 dominios de la norma ISO 27001.
La segunda hoja nos muestra el porcentaje de cumplimiento por punto de control.
La tercera hoja nos muestra el porcentaje de cumplimiento por cada uno de los 11 dominios.
La cuarta hoja nos muestra una representación gráfica de los 11 dominios.
La quinta hoja, nos dá una explicación de la coloración de los campos según el porcentaje y las explicaciones pertinentes que sean necesarias para llenar la primera hoja.
Enlace para bajar la planilla:
En Español:
http://rapidshare.com/files/449453981/ISO_27001_chequeo_de_cumplimiento.xls
En Inglés:
http://rapidshare.com/files/449453079/iso_27001_compliance_checklist.xls
En Español:
http://rapidshare.com/files/449453981/ISO_27001_chequeo_de_cumplimiento.xls
En Inglés:
http://rapidshare.com/files/449453079/iso_27001_compliance_checklist.xls
Obs: Enlaces actualizados al 23/02/2011
Lic. Alfredo Zuccotti, CISM, CISSP
Certified Information Security Manager - (ISACA)
Certified Information System Security Professional - (ISC)²
Chief Information Security Officer
jueves, 4 de junio de 2009
Pasos que realiza el FBI para apresar a los hackers:
En EEUU cada estado tiene sus propias leyes (civiles y penales). Estas leyes están hechas a partir de la Constitución Nacional de los Estados Unidos de América, la mayoría de las leyes estatales tienen muchas cosas en común , excepto algunas cuestiones muy propias en cada estado, que legisla sus propios asuntos siempre y cuando no se contrapongan con las leyes federales, porque las leyes federales tienen vigencia en los 50 estados de la unión y están por encima de las leyes estatales. Existen numerosos delitos considerados federales, que son perseguidos por el FBI, de tal modo a que no tengan impedimentos para perseguir a los delincuentes en cualquier estado y están penados por las leyes federales. El hacking es un delito federal y estos son los pasos que sigue el FBI para apresar a los hackers:
1º Anticiparse a los Ataques y Conocer los nicks (seudónimos) de los hackers: Infiltran agentes en las comunidades de hacking para averiguar sobre posibles nuevos ataques y sus autores. Para entrar al mundo hacker, uno tiene que demostrar que no es un lammer (alguien que no tiene realmente conocimientos y dice ser un hacker) y demostrar su capacidad con actos de hacking que prueben sus conocimientos. Los agentes son admitidos en las comunidades hackers mediante ataques (autorizados internamente por las altas esferas de la unidad de cybercrimen del FBI y por jueces federales) a sitios webs gubernamentales y empresas privadas (fantasmas) que sirven de fachada a sus agentes.
2º Averiguar la dirección IP real del atacante: con la ayuda de los logs proporcionados por las empresas atacadas y toda la información que puedan tener con otros hackers y su sniffer Carnivore. Muchas veces las primeras direcciones IP conducen a otros equipos zombies que fueron poseidos por medio de puertas traseras, en esos casos se tarda un poco más de tiempo en averiguar la dirección IP del atacante, porque se colocan señuelos en esas máquinas zombies esperando que el atacante vuelva a tomar el control de esas máquinas. Si el atacante falsea su dirección IP real (lo cual sucede en la mayoría de los casos) se sigue el rastro lentamente por el recorrido (a nivel de saltos de ruteo) de los paquetes del atacante identificado por su nick hasta dar con su dirección IP real.
3º Identificar al Atacante: Una vez que conocen la dirección IP real del hacker, averiguan el nombre y el domicilio del mismo (o de sus padres, porque muchas veces el contrato de servicio está a nombre de los padres) con el ISP (Internet Service Provider) al que pertenece la dirección IP.
4º Vigilar al Hacker y Recopilar Evidencia: Se obtiene una orden de un juez federal y se monitorea toda su actividad en internet por 60 días, en coordinación con el ISP, se guardan los logs de toda su actividad en conformidad con las leyes federales de EEUU y normativas de presentación de evidencias forenses informáticas, para poder presentarlo como prueba en un juicio. Mediante la misma orden judicial se intervienen los teléfonos de la casa de dos formas, se guarda un registro de los números discados y también se graban las conversaciones, por un período de 60 días
5º Apresar al Hacker:Al término de los 60 días (a veces antes porque ya se tienen las pruebas necesarias o antes de que ocurra un ataque muy grande), se le apresa al hacker y se lo lleva a juicio en una corte federal. Si el hacker está en otro país, se pide su extradición, siempre y cuando exista un acuerdo de extradición y existan leyes que penen los mismos delitos y crímenes en el país de origen del ataque en donde está el hacker. Al llegar a EEUU, los hackers son enjuiciados en una corte federal, sentenciados y enviados a la cárcel.
Obs: El sniffer Carnivore puede reensamblar paquetes encriptados hasta 168 bits.
Resumen de Leyes sobre Delitos Informáticos - Paraguay
Objeto Material y Bien Jurídico a Proteger: En caso de un asesinato el objeto material del crimen es la persona y el bien jurídico a proteger es la vida humana. En caso de los delítos informáticos el objeto material son las instalaciones informáticas (computadoras, redes, cableado, ruteadores, etc.) y los bienes jurídicos a proteger son los datos de las personas (o información) que pueden afectar la privacidad, los derechos de propiedad intelectual, honorabilidad, patrimonio, moral, etc.
Código Penal (Ley 1.160/1997)- Hacking e intento de hacking, lease intrusión no autorizada y alteración de datos (Art. 174 y 175)
- Tumbar un servidor y provocar daños (Art. 159)
- Pornografía Infantil (Art. 134,135,136,137,138,139)
- Interceptar llamadas o utilizar fotografías de alguien sin su permiso (Art. 144)
- Grabarle a alguien sin permiso (Art. 145)
- Interceptar y leer e-mails o datos ajenos (Art. 146)
- Revelar secretos personales o industriales (Art. 147)
- Vender datos o bases de datos de personas (Art. 149)
- Los delitos de Calumnia, Difamación e Injuria también aplican a internet (Art. 150, 151 y 152)
- Invitación a inversiones fraudulentas via e-mail o por cualquier otro medio (Art. 191)
- Utilizar software crackeado o pirateado o publicación de músicas, libros, películas, etc. piratas (Art. 184)
- Operaciones fraudulentas por computadora (Art. 188)
- Uso de instalaciones o cableado sin permiso (Art. 189)
- Perturbación de instalaciones de telecomunicaciones (Art. 220)
- Alteración de datos relevantes para la prueba (Art. 248)
- Manipulación que perturbe un procesamiento de datos (Art. 249)
- Destrucción o daño a documentos o señales (Art. 253)
- Difusión y publicación en internet o cualquier medio de objetos secretos (Art. 316)
- Grabarle a alguien sin permiso (Art. 145)
- Interceptar y leer e-mails o datos ajenos (Art. 146)
- Revelar secretos personales o industriales (Art. 147)
- Vender datos o bases de datos de personas (Art. 149)
- Los delitos de Calumnia, Difamación e Injuria también aplican a internet (Art. 150, 151 y 152)
- Invitación a inversiones fraudulentas via e-mail o por cualquier otro medio (Art. 191)
- Utilizar software crackeado o pirateado o publicación de músicas, libros, películas, etc. piratas (Art. 184)
- Operaciones fraudulentas por computadora (Art. 188)
- Uso de instalaciones o cableado sin permiso (Art. 189)
- Perturbación de instalaciones de telecomunicaciones (Art. 220)
- Alteración de datos relevantes para la prueba (Art. 248)
- Manipulación que perturbe un procesamiento de datos (Art. 249)
- Destrucción o daño a documentos o señales (Art. 253)
- Difusión y publicación en internet o cualquier medio de objetos secretos (Art. 316)
Constitución Nacional
- Inviolabilidad del patrimonio documental y la comunicación privada (Art. 36)
- Prohibición de publicación en cualquier medio de fotos o datos de menores (Art. 29)
- Pornografía Infantil (comercio o publicación) o permitir su asistencia (Art. 31)
- Proporcionar Internet Libre o no filtrado a los niños, es decir sin software de Control Parental (Art 32 f)
Obs: La Ordenanza 256/06 de la Municipalidad de Asunción prohibe que en los Cybers, Colegios y cualquier Local de Atención al Público se proporcione internet libre o no filtrado a los niños.
- Inviolabilidad del patrimonio documental y la comunicación privada (Art. 36)
Ley 1680/01 (Codigo de la Niñez y la Adolescencia)
- Prohibición de publicación en cualquier medio de fotos o datos de menores (Art. 29)
- Pornografía Infantil (comercio o publicación) o permitir su asistencia (Art. 31)
- Proporcionar Internet Libre o no filtrado a los niños, es decir sin software de Control Parental (Art 32 f)
Obs: La Ordenanza 256/06 de la Municipalidad de Asunción prohibe que en los Cybers, Colegios y cualquier Local de Atención al Público se proporcione internet libre o no filtrado a los niños.
OTROS TEMAS IMPORTANTES DE CONOCER:
Acuerdo de Confidencialidad y No Competencia: Se trata de un contrato en el cual se compromete al empleado a no realizar ninguna actividad que signifique competir contra su empleador (Art. 65 inciso "l" del Código Laboral), y no revelar ningún secreto de la empresa, de caracter privado como ser datos de los clientes o del funcionamiento de la empresa (Art.65 inciso "k" del Código Laboral y artículos 147 y 149 del Código Penal).
Obs: El acuerdo de confidencialidad permanece aún después de terminar el contrato de trabajo, sin embargo el acuerdo de no competencia fenece al terminar el contrato de trabajo.
Licencias de Software: Al adquirir una licencia, no se adquiere el producto como tal, sino lo que se adquiere es la "licencia de uso".
Contratos de Servicio de Software Tercerizado: Al realizar contrataciones de servicios de software tercerizado, siempre se tienen que tener en cuenta los SLA (Service Level Agreement) o Acuerdos de Niveles de Servicio aceptados y auditados por la compañía, de tal modo a mantener siempre un nivel aceptable en el servicio recibido. En caso de no cumplirse esos niveles de servicio mínimos aceptados, la posibilidad de romper el contrato por parte de la compañía.
Mensajes Equivocados: Cuando recibimos un mensaje equivocado, al celular o por email, mejor responder indicando el desconocimiento, porque esa puede ser la diferencia entre que nos imputen o no penalmente por involucrarnos en una actividad ilícita (secuestro, pornografía infantil, robos, etc.).
LOPD (Ley Orgánica de Protección de Datos): Es una ley orgánica que rige en Europa que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, especialmente en su honor, intimidad y privacidad personal y familiar. El objetivo principal es regular el tratamiento de datos y archivos de caracter personal, independiente al soporte en cual sean tratados (papel o medios magnéticos), los derechos de los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan. Los datos personales deben estar protegidos con la debida diligencia.
Lic. Alfredo Zuccotti, CISM, CISSP
Certified Information Security Manager - (ISACA)
Certified Information System Security Professional - (ISC)²
Security Manager
martes, 2 de junio de 2009
Guía para Padres sobre Internet
Internet puede ser una herramienta muy poderosa así como una fuente de interminables dolores de cabeza (incluso la cárcel en algunos casos). Como padres lógicamente nos preocupamos por nuestros hijos, y lo mejor que podemos hacer es informarnos sobre las amenazas, las cuestiones legales, dialogar con los chicos y advertirles de los peligros antes que sea tarde. A menudo escucho a Padres quejarse de que se debe controlar y filtrar internet en los Cybers y los Colegios, pero, y como andamos por casa? ponemos filtros y monitoreamos lo que hacen nuestros hijos? nosotros mismos debemos cumplir las leyes en casa antes de exigir el cumplimiento en los Cybers y los Colegios, seamos coherentes!!!
Según el Código de la Niñez y la Adolescencia (Ley 1680/01 - Paraguay) está prohibido suministrar a los niños y adolescentes internet libre o no filtrado (Art. 32 inciso f). Aquí se brindan algunos consejos básicos con herramientas gratuitas que ayudarán a resolver y aclarar algunas inquietudes al respecto:
Virus: Los virus son programas creados generalmente por estudiantes con ánimo de probar su ingenio, con la intención de jorobarle a quien lo infecte. Es muy importante contar con un antivirus para prevenir infecciones en la máquina, pero también es cierto que si el antivirus no se actualiza no sirve de mucho porque a diario surgen nuevos virus que exigen nuevas técnicas de desinfección, es por eso que hay que actualizarlo a diario. Existen numerosas soluciones antivirus muy buenas, algunas de ellas gratuitas (Avast, AVG, Avira, etc.) un antivirus muy bueno (gratuito) que se actualiza a diario es Avira Antivirus, se puede bajar de la página siguiente:
http://www.free-av.com/en/trialpay_download/1/avira_antivir_personal__free_antivirus.html
Presionar el botón: 
luego nos lleva a otra página y presionar nuevamente Download Now, después ejecutar el programa, y actualizarlo a diario. Es importante realizar un escaneo total del disco cada cierto tiempo para evitar infecciones en la máquina que nos podrían acarrear la pérdida de nuestros datos.
Redes Sociales: Existen en internet numerosos foros y redes sociales (Facebook, Orkut, Myspace, Tocorre, Radiosoo, La Jaula, etc.) en la que todo el mundo quiere ser partícipe a cualquier edad. Estas redes sociales y foros suelen agrupar a gente con intereses comunes (y no tanto), generalmente se suelen formar comunidades sobre temas específicos. La decisión de permitir o no el ingreso a estas comunidades o foros de acuerdo a la edad de los chicos, es una cuestión muy personal de cada padre, pero es conveniente acatar las normas de cada foro o red social, por algo están hechas. Cuando el niño es menor de 14 años (13 años o menos), los portales están obligados a desactivar ese espacio. Facebook no permite el registro de menores de 13 años ni siquiera autorizado, si uno intenta registrarse y es menor de edad, aparece el siguiente mensaje:
Muchos menores entran a Facebook mintiendo su edad, si son detectados ellos mismos los eliminan. Porqué esto? Las amenazas para los menores en las redes sociales vienen en su mayoría por publicar demasiada información personal y gráfica, ya sea por ellos mismos o por otros. Ponen en riesgo su privacidad, su intimidad y la de otros usuarios, y los menores no son concientes de los peligros que hay en la red, es por eso que hay leyes en Europa y EEUU que obligan a los portales a no registrar a menores de 14 años. Para los mayores de 14 años, existen ciertas consideraciones que como padres debemos dialogar con nuestros hijos, en especial tener cuidado con las cosas que uno publica o las invitaciones que hace, es bien conocido el suceso que ocurrió en inglaterra de la chica de 14 años que quería invitar a unos pocos amigos a su fiesta de cumpleaños de 15 y creó un evento publico sin querer al cual se inscribieron más de 21.000 personas en poco tiempo, como resultado la familia tuvo cerrar el evento y cambiar de número de teléfono, sin mencionar la cantidad de inconvenientes que eso le trajo (ver noticia):
- Evitar en lo posible poner fotos y/o cualquier tipo de información personal que le permita a cualquier persona mal intencionada utilizar estos elementos en contra de uno. Los niños y adolescentes son muy susceptibles a las bromas que le hacen sus amigos, lo que para un adulto puede ser una tontería, para ellos es una catástrofe que les lleva a una depresión que les impulsa a esconderse por meses (y algunos hasta el suicidio incluso), son bien conocidos los casos en varios colegios de Asunción en que se alteraron fotos de chicos con herramientas de edición fotográfica y que condujeron a los mismos a tener que mudarse de Colegio por verguenza, (se puso el rostro del chico a personas desnudas o realizando actos homosexuales). Muchos secuestradores y violadores también encuentran información increíblemente abudante sobre sus víctimas en las comunidades y foros de internet o como ocurrió con las adolescentes que fueron chantajeadas y luego forzadas a realizar actos sexuales que fueron filmados y utilizados como pornografía en Tacumbú: (ver noticia) Con sólo mirar sus fotos y las comunidades a las que se asocia uno puede saber en qué colegio o facultad va y en qué curso está, a qué club social pertenece, si tiene una casa o autos lindos, si tiene casa en San Bernardino, Estancia, a donde suele ir de vacaciones, etc. etc. Incluso a la prensa le encanta indagar y publicar información que encuentra en internet sobre el patrimonio y los viajes de la gente que tiene cargos públicos. Una manera de evitar que extraños entren a ver los datos privados es configurar las opciones de privacidad.
- Opciones de Privacidad: Es muy importante que los chicos configuren las opciones de privacidad de modo a que sólo puedan acceder sus amigos a las fotos y diálogos. Para que esto tenga realmente efecto sólo se deben admitir como contactos a gente que se conozca realmente, si uno admite a cualquiera no sabe a qué se expone.
- La Importancia de una Contraseña Fuerte: Si su hijo es un adolescente y entra a las redes sociales, para evitar que se roben su cuenta, pidale que nunca comparta su usuario y que utilice una contraseña fuerte que contenga numeros, letras y caracteres especiales, por ejemplo (c0c4$c0l4 ,fl0r#bl4nca,pi3dra_n3gra, s3ven_up etc.) una buena técnica es formar contraseñas de palabras compuestas separadas por caracteres especiales y luego reemplazar algunas letras por números, como la O por el 0, la E por el 3 y la A por el 4. Esto es para dificultar el trabajo a ciertos programas de crackeo de contraseñas que prueban encontrar contraseñas de palabras existentes en el diccionario. También es importante que en la opción de recuperación de contraseñas no ponga preguntas muy fáciles de modo a que sus compañeros no puedan robar su identidad y gastarles bromas pesadas.
- Robo de Identidad: En caso de que ocurra un robo de identidad en las redes sociales, lo primero que tienen que hacer los padres es hablar con sus hijos y calmarlos, porque para ellos lo ocurrido es algo muy drástico que puede conducir a una drepesión extrema y en algunos casos hasta el suicidio. La mayoría de las redes sociales tienen la opción de "Denunciar Abuso" y ahí se puede denunciar el robo de identidad para que la cuenta sea eliminada previa verificación.
- Citas a Ciegas: Advertir a los chicos sobre el peligro de citarse con desconocidos, es muy peligroso citarse con desconocidos, es sabido de varios casos de violaciones y secuestros que ocurrieron así y que no son denunciados por miedo a la verguenza de que la comunidad se entere de lo ocurrido.
Filtros de Control Parental: Cuando conectamos recién internet en casa, una de mis hijas se me acercó pidiendome entrar a varios sitios de juegos en línea, nos pusimos a buscar juntos, pero me preocupó de sobremanera cuando pusimos en Google la palabra Barbie y me saltaron varios videos pornográficos, es por eso que me propuse de inmediato a buscar e instalar un buen filtro de control parental para evitar que en mi ausencia mis hijas vieran sin querer material inadecuado. Los filtros evitan que uno entre a páginas con material obceno o pornográfico, cerrándo inmediatamente el navegador. Uno muy interesante (y gratuito) es el Naomi 3.2.90, está en español y se puede descargar de:http://naomi.softonic.com/
El Naomi 3.2.90 (recomendado para chicos de hasta 12 años) es un agente que se instala y solicita una contraseña una primera vez (importante, no olvidar la contraseña ni compartirla con los chicos) y queda activo de forma oculta monitoreando constantemente todas las conexiones a Internet, protegiendo a los niños de cualquier material inapropiado (obsceno, violento, pornografía y erotismo, drogas, juegos por dinero, terrorismo, ocultismo, sectas, etc.).
Cuando aparece en pantalla o se escribe una palabra inapropiada, se cierra el navegador o chat evitando que los niños vean cosas inapropiadas.
El filtro no se fía de una lista de sitios prohibidos sino que examina todos los datos transmitidos o recibidos desde Internet, usando aplicaciones como navegadores web, programas de chat (modo web, no messenger), lectores de noticias, herramientas para compartir archivos, etc.
Cuando el adulto va a utilizar la máquina, solo tiene que hacer doble click en el icono que esta en la esquina inferior a la derecha (una flor de color rosa), luego se introduce la contraseña y se presiona el botón "Parar" y luego el botón "Ocultar. Cuando el adulto deje de utilizar la máquina puede volver a activar dandole doble click en la flor de color rosa, luego presionar el botón "Iniciar" y luego "Ocultar" para que quede nuevamente activo el software.
Obs: Si se desea un filtro de control parental más avanzado (cuando hay adolescentes mayores a 12 años en casa) se puede bajar el K9 Web Protection (ir al final del documento)
Messenger: Son programas de mensajería instantánea que permiten conversar (chatear) en línea con alguien, así como enviar fotos, intercambiar archivos, etc. Hay varias empresas que lo ofrecen de forma gratuita (Yahoo Messenger, Microsoft MSN, Google Talks, etc.). Si bien casi no hay programas que bloqueen el contenido de la conversación con el messenger, lo que podemos hacer es conversar con nuestros hijos sobre el peligro de agregar como contacto a desconocidos y verificar nosotros mismos (si son pequeños), quiénes son las personas que están en su lista de contactos.
Salas de Chateo o Chatrooms: Existen algunos sitios públicos de mensajería instantánea en los cuales uno puede entrar y conversar (chatear) con mucha gente de distintas edades las cuales entran con una identidad ficticia o apodo (nick) que les proporciona un total anonimato, es decir que uno no sabe si realmente está hablando con alguien que dice ser un chico o chica de 15 o 16 años, puede ser de cualquier edad y sexo, por lo que es recomendable tener mucho cuidado con lo que se dice y por sobre todo nunca concertar citas a ciegas con gente desconocida.
Programas P2P (Peer-to-peer): Son programas que sirven para intercambio de archivos (Kazaa, Emule, Ares, etc.), utilizan un protocolo especial (P2P) que muchas veces es bloqueado por las Empresas Proveedoras del Servicio de Internet (Internet Service Providers o ISPs). Estos programas son muy utilizados por los adolescentes para descargar mp3s, videos, películas, juegos, libros, etc. (en su mayoría protegidos por leyes de derechos intelectuales). Lo malo de estos programas es que así como se bajan archivos, se abren puertos para que otros ingresen a nuestra máquina a descargar, cada padre juzgará por sí mismo si va a permitir o no estos programas y sopesar los riesgos. Otro de los peligros es que muchas veces se bajan archivos infectados de virus o spyware, por lo tanto tenemos que desinfectar nuestra máquina cada cierto tiempo.
Bittorrents: Son programas de funcionamiento muy similar a los P2P, utilizan un protocolo similar, pero para bajar un archivo, se necesita un Cliente Bittorrent y un archivo Bittorrent que nos proporciona las direcciones de las máquinas que contienen el archivo que queremos bajar. Los programas P2P bajan el archivo de una sola máquina por vez, los programas bittorrents bajan el archivo de distintas máquinas en pedazos binarios y luego lo ensamblan en la máquina de uno. Tienen el mismo peligro que los programas P2P.
Youtube: Es un sitio de internet donde se alzan videos caseros, es muy popular, muchos adolescentes levantan ahí videos grabados con los celulares o cámaras digitales domésticas, es por eso que hay que advertirles a nuestros hijos, que tengan cuidado donde se desvisten (en especial si hay algún compañero o compañera con un celular en la mano), porque en cualquier momento podemos encontrar videos de nuestros hijos desnudos (o en situaciones incómodas) en internet.
Spyware: Son programas espías que se instalan furtivamente en nuestras máquinas para recopilar información de nuestros hábitos de navegación y consumo. La información recopilada por estos programas es vendida en internet con la intención de enviarnos ofertas no deseadas de productos por email (SPAM). Estos programas revisan cada cosa que hacemos, por lo tanto enlentecen tremendamente la máquina. Es recomendable cada cierto tiempo bajar algunos antispywares (por lo menos 2 o 3), instalarlos, actualizarlos y luego ejecutar un escaneo completo de toda la máquina (ojo, para instalar otro hay que desinstalar primero el que se instaló previamente). Recomiendo varios porque no existe ningún antispyware hasta la fecha que de por sí encuentre y elimine todos los spywares, cada uno tiene su propia base de datos de desinfección y su forma de actuar diferente. Los más efectivos y más utilizados varían de año en año, actualmente se utilizan mucho Ad Aware, AVG, Spyware Terminator, Spybot Search And Destroy, etc. pero esto cambia a cada rato por lo que es mejor buscar en google los más eficaces a la fecha.
Hacking: Consiste en entrar de forma no autorizada a otros sitios en internet, puede ser causando daños o no. Muchos adolescentes de todo el mundo saltan de los juegos de la Pc, PlayStation, Wii, XBox, etc. al hacking porque lo encuentran más emocionante, pero eso tiene sus riesgos. Es importante que sepamos como padres que el hacking y el intento de hacking están penados por el Código Penal Paraguayo (Ley 1.160/1995 artículos 175 y 188) y que en EEUU el hacking es un delito federal (por lo tanto es un delito extraditable, es decir que los hackers son extraditados, juzgados, sentenciados y enviados a prisión en los EEUU si el país tiene tratados de extradición y sanciones similares en su código penal), también es importante que sepamos que los menores de edad son inimputables y que en esos casos, son los padres los que van a la cárcel. De cualquier forma siempre los padres somos culpables civil (indemnización) o penalmente (cárcel), sin mencionar todos los problemas que esto nos ocasionará, por lo tanto es de vital importancia que sepamos lo que hacen nuestros hijos con la computadora monitoreando sus actividades, poniendo filtros y lo más importante, educándolos y conversando con ellos. Muchas veces, no nos queda otra alternativa mas que imponer nuestras reglas y condiciones, no permitiendo que utilicen internet sin filtro en casa por ejemplo.
Filtro de Control Parental Avanzado: (ideal para adolescentes) Se llama K9 Web Protection, es un programa muy utilizado y recomendado en internet, es muy interesante porque no tiene íconos activos (no se vé en la barra de tareas como un programa en ejecución), permanece oculto, permite monitorear lo que hacen nuestros hijos y tiene muchas opciones de personalización: bloquea la utilización de programas P2P, Bittorrents, sitios de hacking, permite personalizar horario de bloqueos, palabras específicas de búsqueda, poner listas blancas (sitios permitidos) y listas negras (sitios no permitidos), etc. Este filtro es recomendado cuando se tienen adolescentes en casa, se desinstala sólo con la contraseña o forzando por algún medio avanzado, lo cual implicará que los padres se enteren de la desinstalación del programa si es que los padres revisan el filtro cada cierto tiempo.
Se puede bajar del sitio: http://www1.k9webprotection.com/ El software es gratuito, pero hay que llenar un registro indicando email adonde le envían el número de licencia (ojo, no borrar el correo por el número de licencia) y el enlace para bajar el software. Una vez que nos llega a nuestro correo los datos de licencia y enlace para bajar, presionamos donde dice Download K9 Web Protection y nos abre otra ventana/pestaña para bajar el software, allí elegimos cualquiera de los botones siguientes dependiendo de nuestro Sistema Operativo:
Bajamos el programa a algún directorio donde sepamos su ubicación para instalarlo posteriormente y luego lo ejecutamos. Cuando nos pide la licencia, copiamos del email la licencia que nos enviaron, que es una serie de números y letras algo así como K99D39B67E. Proseguimos la instalación y en algún momento nos pedirá el Password de Administrador:
Es importante recordar este password (y no contarselo a los chicos!!!) porque será el que nos permitirá configurar el filtro de protección o desinstalarlo en caso de que ya no querramos utilizarlo o tengamos algún problema con él.
Personalizar el Filtro: En el escritorio se crea un acceso directo Blue Coat K9 Web Protection, podemos ingresar al mismo (modo web) y personalizar el filtro ingresando al botón del medio Setup. Para ingresar nos pedirá la contraseña de administrador que pusimos al instalar. Una vez ingresado podemos dejar las opciones de protección por default o personalizarlas. Para ello debemos tildar en Custom y allí nos aparecerán todas las opciones que podemos activar/desactivar tildando o destildando cada opción (click en la imagen para agrandar):
Obs: podemos traducir lo que no entendamos a través de la página de traducción de Google:
http://www.google.com.py/language_tools?hl=es
Otras Opciones de Configuración del Filtro K9: Importante, solo entrar a personalizar si se tienen los conocimientos para ello (click en la imagen para agrandar):
Importante: El siguiente material se proporciona simplemente a modo de guía gratuita, no tiene intención de vender ningún producto ni servicio, no hago trabajos de instalación, soporte ni consultoría a domicilio porque no tengo tiempo, simplemente es una ayuda de un padre a otro, pero sí puedo orientar por email si me lo solicitan: azuccotti@gmail.com
Atentamente:
Lic. Alfredo Zuccotti, CISM, CISSP
Certified Information Security Manager - (ISACA)
Certified Information System Security Professional - (ISC)²
Security Consultant
Suscribirse a:
Entradas (Atom)