Guía general de aseguración de servicios (I)

Publicada el por

Desde siempre, la seguridad (no sólo en el campo de la informática) ha sido un dolor de cabeza importante. Para ir aplicar seguridad en nuestro sistema tenemos que plantearnos cuál es nuestro entorno, y sobre eso decidiremos una serie de medidas básicas.

¿Cómo, quién, cuándo, dónde?

Empezaremos respondiendo al quién: Una empresa estándar suele tener departamentos tales como:

  • Sistemas
  • Desarrollo
  • Ventas
  • Recursos Humanos

La seguridad es responsabilidad de todos, y cuando no hay una visión global de todo, ocurren las desgracias. No obstante, cuanto más agresivas son las medidas de seguridad, más farragoso es el día a día, y es más probable que los usuarios se las salten.

¿Cómo entonces conseguimos que todos los departamentos alcancen un mínimo?

En este artículo, voy a centrarme en herramientas básicas que no son excesivamente invasivas para los departamentos de Ventas y Recursos Humanos.

Tener una hoja de cálculo de Excel protegida por contraseña para guardar usuarios y contraseñas es un clásico de las malas praxis, así como mandar credenciales con la opción «responder a todos» de nuestro gestor de correo.

Es hora de introduciros a keepassxc: un gestor de contraseñas de código abierto, multiplataforma y cuenta con una comunidad de usuarios muy interesante.

Una vez instalado en la web oficial, lo ejecutamos y en la esquina superior izquierda, clicamos en Base de datos y seleccionamos Nueva base de datos

Una buena práctica es censurar información en las capturas de pantalla

Ahora, se abrirá una nueva ventana, donde nos pedirá un nombre de la base de datos y una descripción (opcional). Recomiendo encarecidamente que evitéis nombres como contraseñas, info_critica_negocio… etc.

Después, podemos ajustar el nivel de cifrado.

Seleccionar un valor más alto, supone más coste al abrir la base de datos y añadir/borrar nuevas entradas. Dependiendo de la máquina, puede tardar bastante tiempo.

Esta opción se puede cambiar a posteriori.

En lo que respecta al formato de base de datos, si no tenemos que mantener compatibilidad con formatos anteriores es mejor dejar el predeterminado. En configuraciones avanzadas se puede elegir con más detalle los algoritmos de cifrado… etc

Ahora estableceremos una contraseña segura, y de forma adicional, podemos usar ficheros clave o un dispositivo clave yubikey . Cuando metamos la contraseña y la confirmemos, guardamos el fichero que hace de base de datos en nuestra máquina:

¡Ya podremos guardar nuestras credenciales!

Ahora podemos crear una carpeta para organizar de forma eficiente nuestras entradas, y no agruparlo todo en la carpeta por defecto. Para ello, clicaremos en el panel donde pone Raíz con el botón derecho y seleccionamos Nuevo grupo, tras lo cual nos pedirá un nombre para el grupo.

Podemos asignar iconos personalizados:

Es recomendable tener iconos distintos por cada grupo para distinguirlos de forma simple

Creado el grupo, sólo hace falta crear las entradas pertinentes. Para añadir apuntes nuevos, simplemente tenemos que clciar con el botón derecho en el área vacía y seleccionamos Nuevo apunte:

Ahora se nos abrirá un menú, donde iremos rellenando los datos:

Si vamos a tener distintos tipos de entradas, para informes, auditorías… es muy recomendable tener iconos diferentes

En la captura no he puesto contraseña, vamos a generar una de forma segura. Para esto hay dos opciones muy válidas.

  • El propio KeePass: Tenemos una opción muy válida, haciendo click en Generar contraseña, es un icono con forma de dado, al lado del icono del ojo. Podemos seleccionar en configuración avanzada los caracteres que tenemos que incluir/excluir así como la longitud de la contraseña:
Cuidado con los caracteres especiales, ciertos servicios no los admiten

Al terminar pulsamos aceptar, y ya tenemos la entrada añadida. Si queremos copiar las credenciales para usarlas hacemos click derecho en la entrada y seleccionamos la opción que más nos interese:

Nota: Por defecto la contraseña se borrará del portapapeles en 10 segundos

Ahora que tenemos guardadas las credenciales, ¿cómo podemos enviarlas de forma segura?

Podemos usar One Time Secret, una web open source (aunque no se actualiza de forma frecuente según el repositorio de Github). Funciona de la siguiente manera:

Pegamos las credenciales en el recuadro, pones una contraseña en el enlace. Cuando creemos en enlace, lo compartimos en un correo, y le facilitaremos las credenciales mediante otro canal de comunicación. Si alguien intercepta el mensaje, o lo abre antes, el receptor legítimo no podrá abrirlo, y será consciente de lo que ha pasado.

Así se verá el enlace que puedes compartir:

Con estas herramientas, podremos aportar un mínimo de seguridad tanto a nivel empresarial como personal. Por supuesto hay muchas más herramientas, así que os dejo la tarea de aportar lo que queráis en los comentarios.

¡Nos vemos en el próximo artículo!