subsecretaría de defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más...

63
Manual de Seguridad Digital Políticas de Seguridad Digital y Guías de Ayuda Subsecretaría de Defensa

Upload: others

Post on 28-Jul-2020

3 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

Manual de Seguridad Digital

Poliacuteticas de Seguridad Digital y Guiacuteas de Ayuda

Subsecretariacutea de Defensa

ccopy 2017 Subsecretariacutea de Defensa Algunos derechos reservadosEl contenido del ldquoManual de Seguridad Digitalrdquo estaacute bajo una licencia Creative Commons Atribucioacuten-CompartirIgual 40 Internacional httpcreativecommonsorglicensesby-sa40 Lasimaacutegenes en este documento estaacuten bajo Dominio Puacuteblico Todas las marcas registradas pertenecen asus respectivos autores o duentildeos La mencioacuten de marcas registradas productos o empresas no debeser entendida en ninguacuten caso como apoyo oficial a eacutestas de parte del Estado de Chile Este documentofue programado en LATEXy utiliza la plantilla The Legrand Orange Book disponible bajo una licenciaCreative Commons Atribucioacuten-NoComercial-CompartirIgual 30 Versioacuten 201710051146

Palabras del Subsecretario de Defensa

El ciberespacio ha devenido en un aacutembito de relacioacuten cotidiana de las personas en torno al cual seestaacute registrando el mayor proceso de innovacioacuten tecnoloacutegica de la economiacutea mundial Se estaacute avanzandocon mucha rapidez hacia la masificacioacuten de las tecnologiacuteas remotas del Internet de las Cosas del BigData e incluso de la automatizacioacuten que combinadas transformaraacuten nuestro mundo ya revolucionadopor los computadores e Internet

Sin embargo este incremento en el uso aumenta tambieacuten nuestra dependencia y vulnerabilidadfrente a las redes que hoy se expresa en la ocurrencia cada vez maacutes frecuente de incidentes y ataquesinformaacuteticos Esto nos obliga a mejorar las praacutecticas y reforzar los estaacutendares de seguridad digitaltanto en nuestra vida personal como en el desempentildeo de las funciones propias de esta Subsecretariacutea deDefensa

Para ello hemos actualizado y simplificado las Poliacuteticas de Seguridad Digital institucionales yhemos creado guiacuteas praacutecticas que faciliten su implementacioacuten y adopcioacuten por parte de todas y todos losfuncionarios de esta reparticioacuten puacuteblica

Las nuevas Poliacuteticas de Seguridad Digital de la Subsecretariacutea de Defensa han sido elaboradasconforme a los lineamientos contenidos en la Poliacutetica Nacional de Ciberseguridad que es el primerinstrumento del Estado de Chile que tiene por objeto resguardar la seguridad de las personas y de susderechos en el ciberespacio estableciendo cinco objetivos estrateacutegicos y un conjunto de medidas quese debe adoptar para contar con un ciberespacio libre abierto seguro y resiliente

Marcos Robledo HoeckerSubsecretario de Defensa

Secretario ejecutivo Comiteacute Interministerial de Ciberseguridad

Iacutendice general

I Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten 11

11 Propoacutesito y contenido 11

12 Resumen de poliacuteticas de seguridad digital 11

13 Convenciones 12

14 Recursos digitales institucionales 12

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad 12

16 Cumplimiento 13

17 Glosario 13

2 Uso aceptable de equipos electroacutenicos 15

21 Descripcioacuten 15

22 Objetivo 15

23 Alcance 15

24 Normas 16241 Normas generales 16242 En caso de robo hurto o peacuterdida de equipos 16243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles 16244 Prohibiciones 17

3 Uso aceptable de correo electroacutenico y redes 19

31 Descripcioacuten 1932 Objetivo 1933 Alcance 1934 Normas 19341 Uso de correo electroacutenico institucional 19342 Uso de Internet y redes sociales 20343 Representacioacuten de la Subsecretariacutea de Defensa 20344 Prohibiciones 21

4 Uso de passwords 23

41 Descripcioacuten 2342 Objetivo 2343 Alcance 2344 Normas 23441 Creacioacuten de passwords 23442 Proteccioacuten de passwords 24443 Delegacioacuten de identidad 24

5 Respuesta a incidentes de seguridad digital 25

51 Descripcioacuten 2552 Objetivo 2553 Alcance 2554 Normas 25541 Prevenir incidentes 25542 Identificar incidentes 26543 Remediar incidentes 26

II Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital 29

61 Introduccioacuten 29611 Identidades de una persona 30612 iquestQueacute es una identidad digital personal 30

62 Higiene digital personal 31621 Cuida tus identidades 31622 Cuida tus passwords 32623 Cuida tus datos personales 34

63 Higiene con dispositivos digitales 36631 Bloquea tu computadorteleacutefono 36632 Manteacuten tu computadorteleacutefono actualizado 37

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 2: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

ccopy 2017 Subsecretariacutea de Defensa Algunos derechos reservadosEl contenido del ldquoManual de Seguridad Digitalrdquo estaacute bajo una licencia Creative Commons Atribucioacuten-CompartirIgual 40 Internacional httpcreativecommonsorglicensesby-sa40 Lasimaacutegenes en este documento estaacuten bajo Dominio Puacuteblico Todas las marcas registradas pertenecen asus respectivos autores o duentildeos La mencioacuten de marcas registradas productos o empresas no debeser entendida en ninguacuten caso como apoyo oficial a eacutestas de parte del Estado de Chile Este documentofue programado en LATEXy utiliza la plantilla The Legrand Orange Book disponible bajo una licenciaCreative Commons Atribucioacuten-NoComercial-CompartirIgual 30 Versioacuten 201710051146

Palabras del Subsecretario de Defensa

El ciberespacio ha devenido en un aacutembito de relacioacuten cotidiana de las personas en torno al cual seestaacute registrando el mayor proceso de innovacioacuten tecnoloacutegica de la economiacutea mundial Se estaacute avanzandocon mucha rapidez hacia la masificacioacuten de las tecnologiacuteas remotas del Internet de las Cosas del BigData e incluso de la automatizacioacuten que combinadas transformaraacuten nuestro mundo ya revolucionadopor los computadores e Internet

Sin embargo este incremento en el uso aumenta tambieacuten nuestra dependencia y vulnerabilidadfrente a las redes que hoy se expresa en la ocurrencia cada vez maacutes frecuente de incidentes y ataquesinformaacuteticos Esto nos obliga a mejorar las praacutecticas y reforzar los estaacutendares de seguridad digitaltanto en nuestra vida personal como en el desempentildeo de las funciones propias de esta Subsecretariacutea deDefensa

Para ello hemos actualizado y simplificado las Poliacuteticas de Seguridad Digital institucionales yhemos creado guiacuteas praacutecticas que faciliten su implementacioacuten y adopcioacuten por parte de todas y todos losfuncionarios de esta reparticioacuten puacuteblica

Las nuevas Poliacuteticas de Seguridad Digital de la Subsecretariacutea de Defensa han sido elaboradasconforme a los lineamientos contenidos en la Poliacutetica Nacional de Ciberseguridad que es el primerinstrumento del Estado de Chile que tiene por objeto resguardar la seguridad de las personas y de susderechos en el ciberespacio estableciendo cinco objetivos estrateacutegicos y un conjunto de medidas quese debe adoptar para contar con un ciberespacio libre abierto seguro y resiliente

Marcos Robledo HoeckerSubsecretario de Defensa

Secretario ejecutivo Comiteacute Interministerial de Ciberseguridad

Iacutendice general

I Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten 11

11 Propoacutesito y contenido 11

12 Resumen de poliacuteticas de seguridad digital 11

13 Convenciones 12

14 Recursos digitales institucionales 12

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad 12

16 Cumplimiento 13

17 Glosario 13

2 Uso aceptable de equipos electroacutenicos 15

21 Descripcioacuten 15

22 Objetivo 15

23 Alcance 15

24 Normas 16241 Normas generales 16242 En caso de robo hurto o peacuterdida de equipos 16243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles 16244 Prohibiciones 17

3 Uso aceptable de correo electroacutenico y redes 19

31 Descripcioacuten 1932 Objetivo 1933 Alcance 1934 Normas 19341 Uso de correo electroacutenico institucional 19342 Uso de Internet y redes sociales 20343 Representacioacuten de la Subsecretariacutea de Defensa 20344 Prohibiciones 21

4 Uso de passwords 23

41 Descripcioacuten 2342 Objetivo 2343 Alcance 2344 Normas 23441 Creacioacuten de passwords 23442 Proteccioacuten de passwords 24443 Delegacioacuten de identidad 24

5 Respuesta a incidentes de seguridad digital 25

51 Descripcioacuten 2552 Objetivo 2553 Alcance 2554 Normas 25541 Prevenir incidentes 25542 Identificar incidentes 26543 Remediar incidentes 26

II Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital 29

61 Introduccioacuten 29611 Identidades de una persona 30612 iquestQueacute es una identidad digital personal 30

62 Higiene digital personal 31621 Cuida tus identidades 31622 Cuida tus passwords 32623 Cuida tus datos personales 34

63 Higiene con dispositivos digitales 36631 Bloquea tu computadorteleacutefono 36632 Manteacuten tu computadorteleacutefono actualizado 37

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 3: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

Palabras del Subsecretario de Defensa

El ciberespacio ha devenido en un aacutembito de relacioacuten cotidiana de las personas en torno al cual seestaacute registrando el mayor proceso de innovacioacuten tecnoloacutegica de la economiacutea mundial Se estaacute avanzandocon mucha rapidez hacia la masificacioacuten de las tecnologiacuteas remotas del Internet de las Cosas del BigData e incluso de la automatizacioacuten que combinadas transformaraacuten nuestro mundo ya revolucionadopor los computadores e Internet

Sin embargo este incremento en el uso aumenta tambieacuten nuestra dependencia y vulnerabilidadfrente a las redes que hoy se expresa en la ocurrencia cada vez maacutes frecuente de incidentes y ataquesinformaacuteticos Esto nos obliga a mejorar las praacutecticas y reforzar los estaacutendares de seguridad digitaltanto en nuestra vida personal como en el desempentildeo de las funciones propias de esta Subsecretariacutea deDefensa

Para ello hemos actualizado y simplificado las Poliacuteticas de Seguridad Digital institucionales yhemos creado guiacuteas praacutecticas que faciliten su implementacioacuten y adopcioacuten por parte de todas y todos losfuncionarios de esta reparticioacuten puacuteblica

Las nuevas Poliacuteticas de Seguridad Digital de la Subsecretariacutea de Defensa han sido elaboradasconforme a los lineamientos contenidos en la Poliacutetica Nacional de Ciberseguridad que es el primerinstrumento del Estado de Chile que tiene por objeto resguardar la seguridad de las personas y de susderechos en el ciberespacio estableciendo cinco objetivos estrateacutegicos y un conjunto de medidas quese debe adoptar para contar con un ciberespacio libre abierto seguro y resiliente

Marcos Robledo HoeckerSubsecretario de Defensa

Secretario ejecutivo Comiteacute Interministerial de Ciberseguridad

Iacutendice general

I Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten 11

11 Propoacutesito y contenido 11

12 Resumen de poliacuteticas de seguridad digital 11

13 Convenciones 12

14 Recursos digitales institucionales 12

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad 12

16 Cumplimiento 13

17 Glosario 13

2 Uso aceptable de equipos electroacutenicos 15

21 Descripcioacuten 15

22 Objetivo 15

23 Alcance 15

24 Normas 16241 Normas generales 16242 En caso de robo hurto o peacuterdida de equipos 16243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles 16244 Prohibiciones 17

3 Uso aceptable de correo electroacutenico y redes 19

31 Descripcioacuten 1932 Objetivo 1933 Alcance 1934 Normas 19341 Uso de correo electroacutenico institucional 19342 Uso de Internet y redes sociales 20343 Representacioacuten de la Subsecretariacutea de Defensa 20344 Prohibiciones 21

4 Uso de passwords 23

41 Descripcioacuten 2342 Objetivo 2343 Alcance 2344 Normas 23441 Creacioacuten de passwords 23442 Proteccioacuten de passwords 24443 Delegacioacuten de identidad 24

5 Respuesta a incidentes de seguridad digital 25

51 Descripcioacuten 2552 Objetivo 2553 Alcance 2554 Normas 25541 Prevenir incidentes 25542 Identificar incidentes 26543 Remediar incidentes 26

II Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital 29

61 Introduccioacuten 29611 Identidades de una persona 30612 iquestQueacute es una identidad digital personal 30

62 Higiene digital personal 31621 Cuida tus identidades 31622 Cuida tus passwords 32623 Cuida tus datos personales 34

63 Higiene con dispositivos digitales 36631 Bloquea tu computadorteleacutefono 36632 Manteacuten tu computadorteleacutefono actualizado 37

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 4: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

Iacutendice general

I Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten 11

11 Propoacutesito y contenido 11

12 Resumen de poliacuteticas de seguridad digital 11

13 Convenciones 12

14 Recursos digitales institucionales 12

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad 12

16 Cumplimiento 13

17 Glosario 13

2 Uso aceptable de equipos electroacutenicos 15

21 Descripcioacuten 15

22 Objetivo 15

23 Alcance 15

24 Normas 16241 Normas generales 16242 En caso de robo hurto o peacuterdida de equipos 16243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles 16244 Prohibiciones 17

3 Uso aceptable de correo electroacutenico y redes 19

31 Descripcioacuten 1932 Objetivo 1933 Alcance 1934 Normas 19341 Uso de correo electroacutenico institucional 19342 Uso de Internet y redes sociales 20343 Representacioacuten de la Subsecretariacutea de Defensa 20344 Prohibiciones 21

4 Uso de passwords 23

41 Descripcioacuten 2342 Objetivo 2343 Alcance 2344 Normas 23441 Creacioacuten de passwords 23442 Proteccioacuten de passwords 24443 Delegacioacuten de identidad 24

5 Respuesta a incidentes de seguridad digital 25

51 Descripcioacuten 2552 Objetivo 2553 Alcance 2554 Normas 25541 Prevenir incidentes 25542 Identificar incidentes 26543 Remediar incidentes 26

II Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital 29

61 Introduccioacuten 29611 Identidades de una persona 30612 iquestQueacute es una identidad digital personal 30

62 Higiene digital personal 31621 Cuida tus identidades 31622 Cuida tus passwords 32623 Cuida tus datos personales 34

63 Higiene con dispositivos digitales 36631 Bloquea tu computadorteleacutefono 36632 Manteacuten tu computadorteleacutefono actualizado 37

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 5: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

3 Uso aceptable de correo electroacutenico y redes 19

31 Descripcioacuten 1932 Objetivo 1933 Alcance 1934 Normas 19341 Uso de correo electroacutenico institucional 19342 Uso de Internet y redes sociales 20343 Representacioacuten de la Subsecretariacutea de Defensa 20344 Prohibiciones 21

4 Uso de passwords 23

41 Descripcioacuten 2342 Objetivo 2343 Alcance 2344 Normas 23441 Creacioacuten de passwords 23442 Proteccioacuten de passwords 24443 Delegacioacuten de identidad 24

5 Respuesta a incidentes de seguridad digital 25

51 Descripcioacuten 2552 Objetivo 2553 Alcance 2554 Normas 25541 Prevenir incidentes 25542 Identificar incidentes 26543 Remediar incidentes 26

II Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital 29

61 Introduccioacuten 29611 Identidades de una persona 30612 iquestQueacute es una identidad digital personal 30

62 Higiene digital personal 31621 Cuida tus identidades 31622 Cuida tus passwords 32623 Cuida tus datos personales 34

63 Higiene con dispositivos digitales 36631 Bloquea tu computadorteleacutefono 36632 Manteacuten tu computadorteleacutefono actualizado 37

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 6: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

633 Revisa los permisos de las aplicaciones en tu teleacutefono 38

64 Higiene en redes digitales 39641 Protege tu navegacioacuten 39642 No instales aplicaciones fuera de los repositorios oficiales 40643 No te conectes a redes inalaacutembrica que no conozcas 41644 No abras correos o archivos de personas que no conoces 42

7 Guiacutea de creacioacuten de passwords 45

71 Introduccioacuten 45711 iquestQueacute es un buen password 45712 Recomendaciones generales 46

72 Meacutetodo 1 Usa passphrases 46721 iquestQueacute es una passphrase 46722 iquestCoacutemo usar una passphrase 47

73 Meacutetodo 2 Usa un administrador de passwords 48731 Lastpass 49732 Dashlane 50733 Keepass 51

74 Meacutetodo 3 Usa una tarjeta de passwords 52741 Password cards 52742 Tarjetas Qwerty 54

75 Tipos de ataques 55751 Ataque de ldquofuerza brutardquo 55752 Ataque de diccionario 57

Referencias 61

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 7: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

I1 Definiciones y marco de aplicacioacuten 1111 Propoacutesito y contenido12 Resumen de poliacuteticas de seguridad digital13 Convenciones14 Recursos digitales institucionales15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad16 Cumplimiento17 Glosario

2 Uso aceptable de equipos electroacutenicos 1521 Descripcioacuten22 Objetivo23 Alcance24 Normas

3 Uso aceptable de correo electroacutenico y re-des 19

31 Descripcioacuten32 Objetivo33 Alcance34 Normas

4 Uso de passwords 2341 Descripcioacuten42 Objetivo43 Alcance44 Normas

5 Respuesta a incidentes de seguridad digi-tal 25

51 Descripcioacuten52 Objetivo53 Alcance54 Normas

Poliacuteticas de Seguridad Digital

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 8: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

1 Definiciones y marco de aplicacioacuten

11 Propoacutesito y contenidoUna poliacutetica es un documento que fija reglas en una institucioacuten sobre queacute se puede y no se puede

hacer Las poliacuteticas existen en general para proteger a las personas que trabajan en una institucioacuten paraproteger los recursos de la institucioacuten o para mantener el orden y la seguridad dentro de la institucioacuten

Esta seccioacuten contiene un resumen de las poliacuteticas en uso en la Subsecretariacutea de Defensa unalista de los recursos digitales relevantes convenciones de escritura y un breve glosario de teacuterminos yabreviaturas utilizadas a lo largo del documento

Cada una de las siguientes secciones contiene una poliacutetica de seguridad digitalLa versioacuten actualizada de este documento puede encontrarse en http17220520plataforma

soporte

12 Resumen de poliacuteticas de seguridad digitalLa Subsecretariacutea de Defensa cuenta actualmente con cuatro poliacuteticas de seguridad digital

1 Uso aceptable de equipos electroacutenicos describe queacute constituye un uso aceptable de los recur-sos electroacutenicos institucionales computadores de escritorio computadores portaacutetiles (laptops)teleacutefonos fijos y teleacutefonos moacuteviles

2 Uso aceptable de correo electroacutenico institucional y redes describe queacute constituye un usoaceptable del correo electroacutenico institucional y de las redes sociales a traveacutes de las redes institu-cionales describe tambieacuten queacute constituye un uso aceptable de las redes de la institucioacuten y delancho de banda

3 Uso de passwords describe queacute constituye un uso aceptable de passwords para acceder arecursos institucionales a traveacutes de computadores o redes institucionales

4 Respuesta a incidentes de seguridad digital describe queacute debe hacerse para prevenir incidentesde seguridad y para identificar y remediar incidentes cuando suceden

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 9: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

12 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

13 Convenciones

A lo largo de este documento se ha hecho esfuerzos para describir los cargos y ocupaciones demanera neutra en teacuterminos de geacutenero Sin embargo cuando ha sido necesario escoger un teacutermino porbrevedad y facilidad de expresioacuten se utilizan apelativos masculinos (pej subsecretario) Esto no debeser interpretado como discriminatorio en teacuterminos de geacutenero

14 Recursos digitales institucionales

Un recurso digital institucional es todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenece a laSubsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Los recursos institucionales digitales que actualmente se encuentran disponibles son los siguientes

1 Correo electroacutenico institucional El correo electroacutenico es el principal mecanismo de comunica-cioacuten entre funcionarios Existen dos aplicaciones para acceder al correo electroacutenico institucional

a) Microsoft Outlook Este es el medio principal y preferente de acceso al correo electroacutenicoinstitucional Requiere del uso de un computador provisto por la SSD y de la instalacioacutendel software MS Outlook Para acceder al correo electroacutenico a traveacutes de este medio serequiere de un username y password

b) Zimbra Este es un medio alternativo de acceso al correo institucional No requiere de uncomputador provisto por la SSD siacute se requiere de un browser y de autentificarse a traveacutesde username y password cada vez que se ingresa a la aplicacioacuten Se puede acceder a esterecurso en la siguiente URL httpszimbrassdefensacl

2 Sistema de gestioacuten de documentos y archivos digitales (Sistedoc) Sistema de gestioacuten dedocumentos a traveacutes de un browser Para acceder a este recurso se requiere de un username ypassword

3 Intranet institucional Sitio web institucional con informacioacuten diversa Para acceder a esterecurso se requiere de un username y password

15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad

1 La presente poliacutetica se revisaraacute completamente una vez al antildeo a contar de su uacuteltima aprobacioacutenDicha revisioacuten seraacute efectuada por el aacuterea de auditoriacutea a traveacutes de un procedimiento definido pordicha aacuterea El objetivo de la revisioacuten seraacute

a) Verificar si la poliacutetica estaacute de acuerdo con cambios en la legislacioacuten vigente y con lasnormativas publicadas desde la uacuteltima revisioacuten

b) Verificar si la poliacutetica requiere de modificaciones debido a cambios que se haya producidoen la Subsecretariacutea de Defensa Estos cambios pueden ser organizacionales administrativospoliacuteticos etc

2 En cualquiera de los casos anteriores la poliacutetica seraacute modificada y la nueva versioacuten seraacute revisaday aprobada mediante resolucioacuten exenta del Subsecretario de Defensa

3 El responsable de mantener actualizada esta poliacutetica y de difundirla al personal de la Subsecretariacuteade Defensa es el Encargado de Seguridad

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 10: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

16 Cumplimiento 13

16 Cumplimiento

1 El aacuterea informaacutetica chequearaacute perioacutedicamente el cumplimiento de cada una de las poliacuteticasvigentes a traveacutes de varios meacutetodos pudiendo incluir entre otras medidas la revisioacuten presencialy remota de equipos electroacutenicos institucionales monitoreo por video y auditoriacuteas internas yexternas

2 Cualquier excepcioacuten a esta poliacutetica deberaacute ser aprobada previamente por el aacuterea informaacutetica3 Todo usuario que sea sorprendido incumpliendo cualquiera de las normativas contenidas en

esta poliacutetica seraacute advertido a traveacutes de correo electroacutenico institucional y el incumplimento seraacuteinformado al Encargado de Seguridad En caso de que el correo electroacutenico institucional no esteacuteoperativo se informaraacute al usuario presencialmente o a traveacutes de correo certificado

4 Si un usuario es sorprendido incumpliendo una normativa por segunda vez el incumplimientoseraacute reportado al Subsecretario de Defensa y seraacute sancionado administrativamente conforme alo dispuesto en el Tiacutetulo V de la Ley 18834 que aprueba el Estatuto administrativo

17 Glosario

Browser o navegador Software que permite visualizar paacuteginas web Existen muchas marcas distintasde browsers los maacutes conocidos son Chrome y Chromium (de Google) Firefox (de FundacioacutenMozilla) Opera (de Fundacioacuten Opera) y Safari (de Apple) El browser Internet Explorer (deMicrosoft) estaacute siendo discontinuado y su uso no se recomienda

Contactos personales Respecto de un usuario de la Subsecretariacutea de Defensa se refiere a datos decontacto de personas que no tienen una relacioacuten laboral con el usuario

Cuentas personales Todas aquellas cuentas de correo electroacutenico o redes sociales que pertenecen aun usuario de la Subsecretariacutea de Defensa pero que son de uso privado e individual y que noson controlados ni provistos por la Subsecretariacutea de Defensa

Correo electroacutenico institucional Cuenta de correo electroacutenico asignada a un usuario de la Subsecre-tariacutea de Defensa y administrada por eacutesta Las direcciones de correo electroacutenico institucional siem-pre tienen la forma de usernamessdefensagobcl por ejemplo si el usuario ldquoJuan Peacuterezrdquoposee el username jperez su correo electroacutenico institucional seraacute jperezssdefensagobcl

Correo electroacutenico personal Toda cuenta de correo electroacutenico que pertenece a un usuario de laSubsecretariacutea de Defensa pero que es provista por un proveedor externo no contratado por laSubsecretariacutea de Defensa pej Gmail Yahoo etc

Equipo electroacutenico institucional o Equipo institucional Cualquier aparato electroacutenico que sea pro-piedad de la subsecretariacutea de defensa y que es temporalmente puesto a disposicioacuten de un usuariopara ayudarlo a cumplir con su labor Por ejemplo un computador de escritorio un computadorportaacutetil un teleacutefono moacutevil (smarphone) un teleacutefono fijo una impresora un router un switch etc

Equipo electroacutenico personal Aquel aparato electroacutenico que sea propiedad de un usuario de laSubsecretariacutea de Defensa

Grupo de informaacutetica o Aacuterea informaacutetica Grupo de personas que proveen servicios de apoyo afuncionarios de la Subsecretariacutea de Defensa en las siguientes actividades

1 Instalacioacuten y soporte de equipos electroacutenicos institucionales junto con la conexioacuten a redesde estos equipos

2 Instalacioacuten y administracioacuten de aplicaciones y programas en los equipos anterioresHorario haacutebil Lunes a viernes de 0800 a 1700 horas exceptuando diacuteas feriadosHorario inhaacutebil Cualquier instante que queda fuera de la definicioacuten de horario haacutebil

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 11: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

14 Capiacutetulo 1 Definiciones y marco de aplicacioacuten

Incidente de seguridad Cualquier evento que involucre equipos institucionales o redes instituciona-les y que contravenga alguna de las normas de la Subsecretariacutea de Defensa

Listas negras (blacklists) Listas puacuteblicas de nombres de dominios URLs o direcciones IP que hansido reportados por distribuir malware o por enviar correo electroacutenico no deseado (spam) Estaslistas usualmente son administradas por empresas de seguridad o grandes corporaciones (pejGoogle Apple) para proteger a los usuarios que hacen uso de sus productos o servicios

Password provisional Aquel password que es asignado de manera temporal para acceder por pri-mera vez a un servicio o recurso digital institucional Usualmente un password provisional escomunicado al titular ya sea verbalmente o por escrito

Recurso digital institucional Todo sitio web base de datos directorio digital listas de correoelectroacutenico intranets aplicaciones o en general cualquier software u objeto digital que pertenecea la Subsecretariacutea de Defensa y que es usado y compartido entre dos o maacutes usuarios

Redes sociales Facebook Twitter LinkedIn Instagram Pinterest y en general cualquier otro serviciode comunicacioacuten masiva en Internet

Redes institucionales Todas aquellas redes y equipos de comunicaciones de propiedad de la Subse-cretariacutea de Defensa que sean utilizados para comunicar a dos o maacutes usuarios entre siacute y a InternetEsta denominacioacuten incluye cables de red puntos de red routers switches firewalls IPS IDS yen general cualquier otro equipo de comunicaciones en uso en instalaciones de la Subsecretariacutea

Username Nombre de usuario utilizado para identificar a un usuario de manera uacutenicaUsuario o funcionario Cualquier persona que trabaja para la Subsecretariacutea de Defensa independien-

temente del tipo de vinculacioacuten laboral que mantenga con la institucioacuten En este documentoambos teacuterminos se usan indistintamente

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 12: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

2 Uso aceptable de equipos electroacutenicos

21 Descripcioacuten

Para cumplir con su misioacuten la Subsecretariacutea de Defensa provee a todos sus usuarios de aquellosequipos electroacutenicos institucionales que se considere necesarios El activo maacutes importante de todaorganizacioacuten sin embargo no son estos equipos sino las personas y la informacioacuten que manejan Esnecesario por tanto fijar algunas normas para proteger tanto a nuestros usuarios como a la informacioacutenque manejamos Un uso inadecuado de los equipos institucionales nos expone entre otras cosas ainfecciones por virus ataques informaacuteticos y filtracioacuten de informacioacuten secreta o reservada

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

22 Objetivo

El objetivo de esta poliacutetica es fijar las normas de uso aceptable de equipos electroacutenicos instituciona-les en la Subsecretariacutea de Defensa

23 Alcance

Esta poliacutetica es aplicable a todos los usuarios que reciben un equipo electroacutenico institucionalindependientemente de si se trata de funcionarios de planta contrata o personal a honorarios o desi se trata de funcionarios en comisioacuten de servicio o en calidad de delegados de otras institucionestrabajando en dependencias de la Subsecretariacutea de Defensa

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 13: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

16 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

24 Normas

241 Normas generales

1 Los equipos provistos por la subsecretariacutea a cada usuario son de propiedad de la Subsecretariacutea deDefensa La Subsecretariacutea de Defensa es titular de toda la informacioacuten que se almacena en losequipos de la Subsecretariacutea de Defensa La Subsecretariacutea de Defensa mantendraacute un registro decada una de las personas a las que le son asignados uno o maacutes equipos electroacutenicos

2 Cada usuario es responsable de proteger fiacutesicamente tanto los equipos que se le asignen como lainformacioacuten que en ellos se almacene en la medida que esta proteccioacuten no ponga en riesgo suintegridad fiacutesica (por ejemplo en caso de robo con intimidacioacuten o con violencia)

3 Cada usuario es responsable de proteger el acceso a cada equipo que se le asigne a traveacutes de unpassword de acuerdo con lo establecido en la poliacutetica Uso de Passwords (paacuteg 23)

4 Cada usuario puede acceder utilizar o compartir la informacioacuten de la Subsecretariacutea de Defensasoacutelo en la medida que sea necesario para realizar su trabajo

5 Cada usuario tiene la responsabilidad de ejercer el sentido comuacuten respecto al uso de los equiposinstitucionales para actividades personales En caso de duda un usuario debe preguntar a su jefedirecto o en su ausencia al Encargado de Seguridad

6 Por razones de seguridad el personal del aacuterea informaacutetica podraacute monitorear remotamente lasactividades realizadas por cada usuario a traveacutes de los equipos institucionales que le fueronasignados Este monitoreo en ninguacuten caso tiene por objetivo vigilar las acciones de un usuariosino detectar software malicioso que pudiera poner en riesgo la informacioacuten de la Subsecretariacuteao la identidad de los usuarios de la Subsecretariacutea

242 En caso de robo hurto o peacuterdida de equipos

1 En caso de robo hurto o peacuterdida de un equipo institucional el usuario a quien fue entregado elequipo debe reportar el evento dentro de las 12 horas siguientes a que se produzca o de que seadvierta por primera vez su ausencia incluso si el evento se produce durante horario inhaacutebil

2 Todo robo hurto o peacuterdida debe ser reportada a traveacutes de una de las siguientes opcionesa) A traveacutes de la URL http17220520plataformasoporteb) Al correo electroacutenico incidentessdefensaclc) A traveacutes de una llamada al nuacutemero +569 7976 9705

3 En caso de reportar un robo hurto o peacuterdida a traveacutes de correo electroacutenico o de una llamadatelefoacutenica se debe reportar lo siguiente

a) Nombre del usuario que realiza el reporte o su usernameb) En caso de robo debe reportarse fecha hora y lugar del evento En caso de hurto o peacuterdida

fecha y hora del momento en que se advirtioacute por primera vez la falta del equipo y la fechay hora estimada del uacuteltimo uso del equipo

c) Circunstancias en que se produjo el robo o peacuterdida4 En caso de robo o hurto de un equipo es responsabilidad del usuario el reportar dicho robo a la

comisariacutea maacutes cercana

243 Normas especiacuteficas sobre uso de teleacutefonos moacuteviles

Las normas contenidas en esta seccioacuten son aplicables a aquellos usuarios a los que les hayansido asignados teleacutefonos moacuteviles (smartphones) y deben ser cumplidas en adicioacuten a las normas yprohibiciones en el resto de esta poliacutetica

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 14: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

24 Normas 17

1 Los teleacutefonos moacuteviles (smartphones) asignados por la Subsecretariacutea de Defensa a algunosusuarios tienen el propoacutesito exclusivo de mantener una liacutenea dedicada de comunicacioacuten tanto devoz como de datos con dichos usuarios

2 Antes de recibir un teleacutefono moacutevil cada usuario deberaacute firmar un documento donde dice queconoce tanto la poliacutetica Uso aceptable de equipos electroacutenicos (esta poliacutetica paacuteg 15) como lapoliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg 19)

3 Las siguientes aplicaciones de comunicaciones seraacuten instaladas en cada teleacutefono moacutevil asignadoa usuarios de la Subsecretariacutea de Defensa

a) WhatsApp desarrollada por WhatsApp Inc (httpswwwwhatsappcom) para men-sajes no confidenciales

b) Signal Private Messenger desarrollada por Open Whisper Systems (httpswhispersystemsorg) para mensajes confidenciales

c) iPGMail desarrollada por Wyllys Ingersoll (httpsipgmailcom) para enviacuteo decorreo electroacutenico institucional ya sea cifrado firmado o ambos

d) SonicWall desarrollada por SonicWALL Inc (httpswwwsonicwallcomes) paraconexioacuten a una red virtual privada (VPN)

4 Si un usuario necesita utilizar una aplicacioacuten distinta de las indicadas en el punto anterior podraacutesolicitar por escrito al Encargado de Seguridad que se instale dicha aplicacioacuten en su teleacutefonojustificando la necesidad El Encargado de Seguridad podraacute autorizar o no la instalacioacuten de laaplicacioacuten basado exclusivamente en criterios de seguridad informaacutetica Dicha autorizacioacutendeberaacute ser por escrito

5 Los usuarios que tengan acceso a un correo electroacutenico a traveacutes del teleacutefono moacutevil que se lesasigne deben seguir estrictamente la poliacutetica Uso aceptable de correo electroacutenico y redes (paacuteg19) para el uso de dicho correo electroacutenico

6 Los usuarios que se conecten a traveacutes de su teleacutefono moacutevil a cualquier sitio web o servicio enliacutenea desde el extranjero deben hacerlo a traveacutes de la aplicacioacuten VPN instalada para ello

7 Los usuarios que reciban un teleacutefono de de la Subsecretariacutea de Defensa no debena) Instalar aplicaciones en el teleacutefonob) Desinstalar o modificar aplicaciones ya instaladas en el teleacutefonoc) Modificar de cualquier manera la configuracioacuten del teleacutefonod) Agregar contactos personales al teleacutefono tanto en las aplicaciones identificadas anterior-

mente como en la aplicacioacuten de contactos nativa del teleacutefonoe) Utilizar la caacutemara del teleacutefonof ) Permitir que cualquier otra persona utilice el teleacutefono incluyendo familiares y amigosg) Reinstalar el sistema operativo del teleacutefono con privilegios elevados (rooting o jailbreaking)

o pedirle a otra persona que lo haga independientemente de si esta actividad es o no pagada

244 Prohibiciones

Las actividades en la lista a continuacioacuten estaacuten en general prohibidas a todos los usuarios de laSubsecretariacutea de Defensa Esta lista no pretende ser exhaustiva sino entregar lineamientos sobre aquellasactividades que son consideradas inadecuadas Toda excepcioacuten debe ser autorizada expresamente por elEncargado de Seguridad

Las siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa1 Bajar o instalar software plug-ins add-ons o cualquier otra aplicacioacuten propietaria en un equipo

electroacutenico institucional si el usuario o la Subsecretariacutea no cuenta con la licencia correspondiente

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 15: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

18 Capiacutetulo 2 Uso aceptable de equipos electroacutenicos

2 Bajar instalar almacenar o reenviar software malicioso como virus gusanos troyanos bombasde correo electroacutenico etc

3 Conectar cualquier equipo electroacutenico personal a la red institucional en especiacutefico estaacute estricta-mente prohibido conectar un router inalaacutembrico personal o un switch personal a cualquier puntode red de la Subsecretariacutea En casos justificados un usuario podraacute conectar su computador perso-nal a la red institucional si cuenta con una autorizacioacuten previa del Encargado de Seguridad Parapedir autorizacioacuten para conectar un equipo electroacutenico personal a la red institucional debe pedirautorizacioacuten a traveacutes de la siguiente URL http17220520plataformasoporte

4 Instalar o ejecutar scripts o programas cuya intencioacuten sea interferir con desactivar o impedir laoperacioacuten normal de las redes institucionales o de los equipos institucionales de otros usuarios

5 Ejecutar cualquier clase de monitoreo de la red institucional que no haya sido autorizada expresay previamente por el Encargado de Seguridad a menos que este monitoreo sea parte de laslabores habituales del usuario

6 Instalar cualquier clase de software o aplicacioacuten que permita eludir o anular el ingreso depasswords para acceder a un equipo institucional La uacutenica excepcioacuten a esta norma seraacuten lasaplicaciones descritas en la Guiacutea de creacioacuten de passwords (paacuteg 45)

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 16: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

3 Uso aceptable de correo electroacutenico y redes

31 DescripcioacutenEsta poliacutetica describe queacute constituye un uso aceptable del correo electroacutenico institucional y de las

redes sociales a traveacutes de las redes institucionales describe tambieacuten queacute constituye un uso aceptable delas redes institucionales y del ancho de banda

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

32 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable del correo electroacutenico institucional

y de las redes institucionales operadas o contratadas por la Subsecretariacutea de Defensa

33 AlcanceEsta poliacutetica es aplicable a todos los usuarios que hacen uso de las redes de la Subsecretariacutea de

Defensa o que hacen uso del correo electroacutenico institucional independientemente de si lo hacen atraveacutes de equipos electroacutenicos institucionales o a traveacutes de equipos personales e independientementede si se trata de funcionarios de planta contrata o personal a honorarios

34 Normas341 Uso de correo electroacutenico institucional

1 El correo electroacutenico institucional es provisto a un usuario exclusivamente para comunicarse conel resto de los usuarios y con personas externas a la Subsecretariacutea cuando su labor asiacute lo requieraEl correo electroacutenico institucional no debe ser usado para crear cuentas en redes sociales sitios

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 17: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

20 Capiacutetulo 3 Uso aceptable de correo electroacutenico y redes

de comercio electroacutenico tiendas de comercio o en general cualquier clase de servicio provistoen liacutenea excepto si este servicio estaacute directamente relacionado con la labor del usuario

2 Por razones de seguridad el correo electroacutenico institucional es revisado por programas automaacute-ticos para filtrar virus malware spam y otros tipos de amenazas que se esparcen a traveacutes delcorreo electroacutenico A pesar de que el correo electroacutenico institucional no seraacute leiacutedo o revisado porseres humanos los mensajes de los usuarios pueden ser revisados por filtros automaacuteticos y sermarcados para ser revisados posteriormente por personal del aacuterea informaacutetica en caso de que elcontenido del mensaje calce con criterios predefinidos de riesgo

342 Uso de Internet y redes sociales

1 Un usuario puede navegar normalmente por Internet a traveacutes de las redes institucionales ejer-ciendo su buen juicio para decidir queacute sitios visita y siendo austero en teacuterminos del ancho debanda que utiliza En este sentido se recomienda lo siguiente

a) Estaacute permitido escuchar muacutesica a traveacutes de Internet siempre y cuando se detenga lareproduccioacuten cuando el usuario se ausente de su lugar de trabajo

b) Evitar reproducir peliacuteculas a traveacutes de Internet por ejemplo a traveacutes de servicios comoNetflix o YouTube

2 Por razones de seguridad todos los sitios que un usuario visita podriacutean ser monitoreados porfiltros automaacuteticos y algunos sitios pueden ser marcados por filtros automaacuteticos para ser revisadospor personal del aacuterea informaacutetica

3 El aacuterea informaacutetica puede bloquear parcial o completamente sitios web o direcciones en Internetcuando

a) Estas direcciones se encuentren en listas negras de cualquier tipo El aacuterea informaacutetica podraacutepublicar una lista de aquellas listas negras que utiliza para bloquear sitios web

b) Estas direcciones contengan pornografiacutea o contenido difamatorio o denigrante para cual-quier persona o contenido racista o discriminador de cualquier especie

c) El Subsecretario de Defensa u otra autoridad asiacute lo solicite bajo razones fundadas4 Un usuario puede hacer uso de sus cuentas personales de redes sociales o de su correo electroacutenico

personal a traveacutes de las redes institucionales siempre y cuandoa) Este uso no lo distraiga de sus labores habitualesb) No revele informacioacuten relacionada con su trabajo o el trabajo realizado por otros usuarios

de la Subsecretariacutea de Defensac) Sus mensajes no sean difamatorios denigrantes racistas o discriminadores para con

cualquier otro usuario de la Subsecretariacutea o para personas externas a la Subsecretariacutea deDefensa

d) No haga uso excesivo del ancho de banda puesto a disposicioacuten de los usuarios de laSubsecretariacutea El queacute constituye un uso excesivo seraacute analizado caso a caso por el aacutereainformaacutetica en caso de duda un usuario debe preguntar al Encargado de Seguridad

5 El uso y administracioacuten de las cuentas de redes sociales oficiales de la Subsecretariacutea de Defensaestaraacute reservado exclusivamente a usuarios autorizados por el Subsecretario de Defensa a traveacutesde una resolucioacuten exenta

343 Representacioacuten de la Subsecretariacutea de Defensa

1 Todo mensaje de un usuario de la Subsecretariacutea de Defensa a traveacutes de redes sociales es desu exclusiva responsabilidad y no compromete de manera alguna la posicioacuten o parecer de la

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 18: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

34 Normas 21

Subsecretariacutea ni de sus autoridades La uacutenica excepcioacuten a esta norma la constituyen los mensajesde las maacutes altas autoridades (Ministros y Subsecretarios)

2 Ninguacuten usuario estaacute autorizado para enviar mensajes a traveacutes de redes sociales en nombre de laSubsecretariacutea de Defensa a excepcioacuten de las maacutes altas autoridades (Ministros y Subsecretarios)y quienes ellas autoricen expresamente

344 ProhibicionesLas siguientes actividades estaacuten prohibidas para todos los usuarios de la Subsecretariacutea de Defensa

Toda excepcioacuten debe ser autorizada expresamente por el Encargado de SeguridadEstaacute estrictamente prohibido

1 Utilizar el correo electroacutenico institucional para crear cuentas en servicios de apuestas en liacuteneasitios pornograacuteficos sitios de citas o de buacutesqueda de pareja o cualquier otro sitio cuyo uso vayaen contra de lo establecido en el artiacuteculo 61 letras g) h) e i) del Estatuto Administrativo fijadopor la Ley 18834

2 Utilizar las redes institucionales para bajar almacenar distribuir reenviar o transmitir cualquiermaterial que infrinja la Ley 17336 sobre Propiedad Intelectual y Derecho de Autor por ejemplomuacutesica peliacuteculas series de televisioacuten aplicaciones libros imaacutegenes fotografiacuteas etc

3 Utilizar las redes institucionales para bajar almacenar distribuir o reenviar cualquier tipo dematerial pornograacutefico ya sea a traveacutes de imaacutegenes audio o video

4 Utilizar el correo electroacutenico institucional o las redes institucionales para vender productos uofrecer servicios de cualquier naturaleza

5 Utilizar el correo electroacutenico institucional para enviar correo electroacutenico no solicitado (spam)6 Utilizar el correo electroacutenico institucional o las redes institucionales para enviar mensajes para

acosar o molestar sexualmente a otras personas pertenezcan eacutestas o no a la institucioacuten

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 19: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

4 Uso de passwords

41 DescripcioacutenLa seleccioacuten y uso de buenos passwords constituye una parte importante de la seguridad de una

institucioacuten Un ldquobuen passwordrdquo es aquel que es faacutecil de recordar por su titular difiacutecil de adivinarpor otras personas y difiacutecil de averiguar a traveacutes de medios automaacuteticos Un mal password puede seradivinado por otras personas y puede permitir a esas personas tener acceso a recursos a los que nodeberiacutea tener acceso Todos los usuarios somos responsables de escoger buenos passwords para losrecursos digitales institucionales a los que se nos provee acceso

La versioacuten actualizada de este documento puede encontrarse en http17220520plataformasoporte

42 ObjetivoEl objetivo de esta poliacutetica es fijar las normas de uso aceptable de passwords en la Subsecretariacutea de

Defensa

43 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

independientemente de si se trata de funcionarios de planta contrata o personal a honorarios

44 Normas441 Creacioacuten de passwords

1 Todos los recursos digitales institucionales deberaacuten ser protegidos a traveacutes de un password Todopassword debe ser creado siguiendo lo establecido en la Guiacutea de uso de passwords (paacuteg 45)

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 20: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

24 Capiacutetulo 4 Uso de passwords

2 A veces por razones de buen servicio a un usuario se le asigna un password provisional quees comunicado verbalmente o que es entregado por escrito en una hoja de papel Todo usuarioal que se le asigna un password provisional deberaacute cambiar este password la primera vez queingrese al recurso digital correspondiente

442 Proteccioacuten de passwords1 Un password siempre es de uso personal Un usuario no debe revelar ni compartir ninguno de sus

passwords con otros usuarios incluyendo asistentes secretarios administradores y familiaresdel usuario Esto es aplicable especialmente cuando un equipo electroacutenico institucional sea usadoen el hogar del usuario o cuando el usuario estaacute de vacaciones con permiso o fuera de su puestode trabajo

2 Un password no debe ser compartido ni revelado bajo ninguna circunstancia a personas externasa la Subsecretariacutea de Defensa incluyendo familiares del usuario o personas que vivan bajo elmismo techo que el usuario

3 Un password debe ser uacutenico es decir no debe ser reutilizado en ninguacuten otro recurso institucionaldigital

4 Un password no debe ser almacenado en medios fiacutesicos o digitales tales como archivos de textosin encriptar pendrives USB discos duros externos CDs o DVDs En particular un usuario nodebe utilizar la funcionalidad de almacenamiento de passwords ofrecida por los browsers

5 Un password no debe ser enviado ni comunicado oralmente a traveacutes del teleacutefono correo fiacutesicomemoraacutendums oficios circulares correo electroacutenico mensajes de texto (SMS) fotos imaacutegeneso cualquier otro medio fiacutesico o digital

6 Un password no debe ser escrito ni guardado en ninguna parte de la oficina de un funcionario Lauacutenica excepcioacuten a esta norma son las tarjetas de passwords descritas en el documento Guiacutea decreacioacuten de passwords (paacuteg 45)

7 Perioacutedicamente el aacuterea informaacutetica intentaraacute adivinar de manera automaacutetica los passwordsutilizados en los recursos institucionales digitales En caso de que un password sea adivinado sele informaraacute al usuario para que modifique su password de acuerdo con lo establecido en la Guiacuteade creacioacuten de passwords (pag 45)

8 El que una persona averiguumle el password de un usuario a traveacutes de cualquier meacutetodo constituyeun acceso no autorizado a los recursos digitales institucionales Todo usuario que sospeche queuno de sus passwords pueda haber sido averiguado o espiado por otras personas deberaacute

a) cambiar inmediatamente su password yb) reportar el incidente inmediatamente al Encargado de Seguridad Para reportar el incidente

el usuario debe seguir el procedimiento establecido en la poliacutetica Respuesta a Incidentesde Seguridad Digital (paacuteg 25)

443 Delegacioacuten de identidad1 En caso de que un funcionarioa por la naturaleza de su cargo deba delegar parte de la adminis-

tracioacuten de su identidad a otros funcionariosas deberaacute solicitar apoyo al aacuterea informaacutetica parapoder realizar estas acciones sin que tenga que revelar su password a otras personas

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 21: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

5 Respuesta a incidentes de seguridad digital

51 DescripcioacutenCualquier persona dentro de una institucioacuten puede hoy sufrir un incidente de seguridad digital La

mayor parte de las poliacuteticas y guiacuteas de buenas praacutecticas de la Subsecretariacutea de Defensa estaacuten dedicadasa prevenir la ocurrencia de incidentes de seguridad digital Sin embargo es fundamental que en casode que ocurra un incidente la o las personas que sepan del incidente sean capaces de reconocerlo yreportarlo para que entre todos seamos capaces de remediar las consecuencias del incidente

52 ObjetivoEl objetivo de esta poliacutetica es establecer un procedimiento a seguir por todo usuario una vez que se

ha reconocido un ataque digital a equipos electroacutenicos institucionales recursos digitales institucionalesa funcionarios de la institucioacuten o a informacioacuten secreta o reservada de la institucioacuten

53 AlcanceEsta poliacutetica es aplicable a todos los usuarios que tienen acceso a recursos digitales institucionales

o a equipos electroacutenicos institucionales independientemente de si se trata de funcionarios de plantacontrata o personal a honorarios

54 Normas541 Prevenir incidentes

Todo usuario debe conocer y practicar lo contenido en la Guiacutea de Higiene Digital (paacuteg 29) conel objetivo de prevenir ataques digitales sobre los equipos electroacutenicos que le son asignados y sobre losrecursos digitales institucionales a los que tiene acceso

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 22: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

26 Capiacutetulo 5 Respuesta a incidentes de seguridad digital

542 Identificar incidentesTodo usuario debe conocer lo contenido en la Guiacutea de Identificacioacuten de Incidentes de Seguridad

con el objetivo de saber identificar los incidentes de seguridad alliacute descritos

543 Remediar incidentesTodo usuario que ha identificado un incidente de seguridad en un equipo electroacutenico a su cargo

debe seguir el siguiente procedimientoSi se trata de un teleacutefono moacutevil

1 Apague inmediatamente el teleacutefono y no vuelva a encenderlo2 De ser posible retire la bateriacutea y la tarjeta SIM3 Si tiene acceso inmediato a Internet a traveacutes de otro equipo distinto del teleacutefono abra la

siguiente URL y siga las instrucciones que alliacute se indican para reportar el incidentehttp17220520plataformasoporte

4 Si no tiene acceso inmediato a Internet pero tiene acceso a otro teleacutefono comuniacutequeseinmediatamente con el Encargado de Seguridad al teleacutefono +569 7976 9705 para reportarel incidente

5 Entregue fiacutesicamente el teleacutefono la bateriacutea y la tarjeta SIM a la brevedad posible alEncargado de Seguridad

Si se trata de un computador de escritorio o computador portaacutetil1 Si el computador estaacute conectado a la red desenchufe inmediatamente el cable de red No

apague el computador2 Si tiene acceso inmediato a Internet a traveacutes de otro computador abra la siguiente URL

y siga las instrucciones que alliacute se indican para reportar el incidente http17220520plataformasoporte

3 Si no tiene acceso inmediato a Internet comuniacutequese inmediatamente con el Encargado deSeguridad al teleacutefono +569 7976 9705 para reportar el incidente

4 Si no tiene acceso inmediato ni a Internet ni acceso a un teleacutefono consiga un computadorcon conexioacuten a Internet o un teleacutefono lo maacutes pronto posible para reportar el incidente

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 23: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

II6 Guiacutea de Higiene Digital 2961 Introduccioacuten62 Higiene digital personal63 Higiene con dispositivos digitales64 Higiene en redes digitales

7 Guiacutea de creacioacuten de passwords 4571 Introduccioacuten72 Meacutetodo 1 Usa passphrases73 Meacutetodo 2 Usa un administrador de passwords74 Meacutetodo 3 Usa una tarjeta de passwords75 Tipos de ataques

Referencias 61

Guiacuteas de Seguridad Digital

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 24: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

6 Guiacutea de Higiene Digital

61 Introduccioacuten

La higiene en teacuterminos generales es el conjunto de teacutecnicas y procedimientos que utilizamos laspersonas para controlar aquellos factores que perjudican nuestra salud1 La higiene digital personal2

tiene que ver con proteger tanto las identidades digitales que uno posee como los datos que estaacutenasociados a ellas

Este capiacutetulo presenta 21 recomendaciones de higiene digital personal Estas recomendaciones vandirigidas a los funcionarios de la administracioacuten puacuteblica que deben tener especial cuidado en protegersu informacioacuten y la informacioacuten de las instituciones donde trabajan sin embargo este capiacutetulo deberiacuteaser uacutetil para todas las personas que quieran tomar medidas baacutesicas de higiene digital

Cada recomendacioacuten posee un tiacutetulo y un contenido de la siguiente forma

R Recomendacioacuten 0 Este es el tiacutetulo de la recomendacioacutenEste es el contenido de la recomendacioacuten

Las recomendaciones en este capiacutetulo estaacuten divididas en tres grupos higiene digital personal(seccioacuten 62) higiene con dispositivos digitales (seccioacuten 63) e higiene en redes digitales (seccioacuten 64)El resto de esta seccioacuten introduce algunos conceptos baacutesicos para comprender el resto del capiacutetulo

1httpseswikipediaorgwikiHigiene Consultado el 28abril2017 Curiosamente el coacutedigo sanitario chileno(httpbcncl1uv0j) que fija y ordena todas aquellas materias relacionadas con el ldquofomento proteccioacuten y recuperacioacutenrdquode la salud puacuteblica menciona 13 veces el teacutermino ldquohigienerdquo sin definirlo

2El teacutermino es arbitrario y no es utilizado formalmente en la literatura sobre seguridad informaacutetica En este texto esutilizado soacutelo como una metaacutefora conveniente

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 25: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

30 Capiacutetulo 6 Guiacutea de Higiene Digital

611 Identidades de una personaTodos nosotros tenemos muacuteltiples identidades en el sentido de la informacioacuten que manejamos

diariamente Imaginemos por ejemplo una persona (Fulano Sutano) que trabaja en la Subsecretariacuteade Defensa En este rol posee muacuteltiples deberes y responsabilidades Posee un correo electroacutenicoinstitucional (fsutanossdefensagobcl) que debe usar responsablemente soacutelo para labores desu trabajo Posee una credencial (una tarjeta contact-less) que debe ser usada para entrar y salir de lasdependencias del Ministerio de Defensa pero que no es vaacutelida para ingresar a ninguna otra dependenciadel sector puacuteblico Posee un username y un password para entrar a su correo electroacutenico otro usernamey password para entrar a la Intranet institucional y otro username y password para ingresar al Sistemade Documentacioacuten Electroacutenica de la institucioacuten a traveacutes del cual recibe los documentos que lleganoficialmente a su aacuterea

En su vida personal esta persona tiene una familia y amigos personales Posee un email personal(fulanosutanogmailcom) que utiliza para comunicarse con sus amigos y familia y para recibircorreos de cuentas por pagar Posee una cuenta corriente e ingresa a ella con su RUN y un passwordPosee cuentas en muacuteltiples tiendas de retail y paga sus compras en liacutenea en los sitios web decada tienda a los que ingresa a traveacutes de su username (fulanosutanogmailcom) y passwordcorrespondientes Tiene tambieacuten una cuenta en Facebook (a la que ingresa con su nuacutemero de teleacutefono yun password) en Twitter (fulanosutano para el que requiere otro password) y en LinkedIn (paramantener contactos profesionales) Tiene tambieacuten el correo electroacutenico de la Universidad donde estudioacute(fsutanomdccuchilecl) que mantiene para intercambiar email con antiguos colegas con los queno quiere perder el contacto

En el ejemplo ficticio anterior la misma persona posee al menos dos identidades bien definidasUna es profesional y la otra personal Ambas se utilizan para propoacutesitos distintos en lugares distintose involucran en general a grupos de personas distintas Muchas personas manejan sus identidades deforma separada y no enviacutean (por ejemplo) emails personales desde su cuenta personal ni viceversa

612 iquestQueacute es una identidad digital personalUna identidad digital personal es la representacioacuten uacutenica de una persona3 que realiza una transac-

cioacuten en liacutenea [8 p15] Una identidad digital personal puede estar o no asociada a una organizacioacutenPor ejemplo cada uno de nosotros tiene al menos una identidad relacionada con el trabajo que realiza yotra personal (como en el ejemplo en la seccioacuten anterior) Con la identidad de trabajo nos comunicamoscon nuestros colegas hacemos solicitudes compramos cosas enviamos y recibimos documentosrealizamos revisiones etc Con nuestra identidad personal nos comunicamos con nuestros amigos pa-gamos cuentas enviamos y recibimos fotos y videos personales a traveacutes de redes sociales organizamoscumpleantildeos familiares etc

Una identidad digital personal estaacute siempre asociada a un y soacutelo un identificador Un identificadores una palabra o texto corto usualmente sin espacios que identifica de manera uacutenica a una personadentro de un contexto determinado Por ejemplo la direccioacuten de correo electroacutenico fulanosutano

gmailcom puede ser utilizada para identificar a una persona de entre todos los usuarios del serviciode correo electroacutenico provisto por Gmail

Un identificador puede o no ser anoacutenimo Por ejemplo el identificador fulanosutanogmailcom sugiere la existencia de una persona real mientras que r9823799423gmailcom no lo sugiere

3En rigor una identidad puede estar asociada a cualquier entidad (un servicio puacuteblico un cargo poliacutetico un club de fuacutetboletc) u objeto (un documento una aplicacioacuten etc) En este documento desarrollamos soacutelo el concepto de identidad personales decir asociada a personas

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 26: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

62 Higiene digital personal 31

El si un identificador es o no anoacutenimo depende de si existe o no una forma de vincular a traveacutes dedatos puacuteblicos un identificador con una persona especiacutefica

El proceso mediante el cual una persona prueba o confirma que posee control de un identificador sellama autenticacioacuten Por ejemplo para abrir una cuenta de correo electroacutenico uno tiene que escoger unidentificador (pej fulanosutanogmailcom) El identificador tiene que ser uacutenico en el contextode los usuarios del mismo servicio de correo Si alguien maacutes (por un alcance de nombre) ya posee esacuenta de correo no podremos escoger exactamente el mismo identificador

Una vez que uno ha creado una cuenta de correo electroacutenico es necesario crear una clave opassword que le permita a uno autenticarse frente al servicio de correo electroacutenico Asiacute cada vez queuno ingresa a su correo electroacutenico el servicio de correo le pide a uno que ingrese su identificador (parasaber quieacuten soy) y su password (para probar que soy yo quien estaacute en control de ese identificador) Paralograr lo anterior es imprescindible el mantener de forma secreta el password asociado al identificador

62 Higiene digital personal

621 Cuida tus identidades

R Recomendacioacuten 1 Manteacuten tus identidades digitales personales separadasunas de otrasNo realices actividades que son propias de una identidad a traveacutes de otra identidad (comoenviar un correo electroacutenico personal a traveacutes de un correo electroacutenico institucional)

La principal recomendacioacuten en esta guiacutea es manejar las identidades que uno posee por separadoEsto significa no utilizar usernames ni passwords de una identidad para propoacutesitos o actividadesque son propios de otra identidad Por ejemplo Fulano no deberiacutea utilizar un email personal (pejfulanosutanogmailcom) para recibir informacioacuten relacionada con su trabajo ni deberiacutea utilizarsu email institucional (fsutanossdefensagobcl) para abrir una cuenta en Instagram (o en Tindero en sitios de apuestas o en casas comerciales etc) Fulano tampoco deberiacutea usar el mismo passwordque utiliza para su correo personal en su correo institucional

La razoacuten de esta recomendacioacuten es tanto legal como teacutecnica y praacutecticaEn instituciones que manejan informacioacuten que requiere de altos niveles de confidencialidad (como

lo es la Subsecretariacutea de Defensa) es frecuente que lo anterior esteacute expliacutecitamente prohibido Al utilizarsu direccioacuten de correo institucional para abrir una cuenta en Facebook Fulano estariacutea transgrediendolas normas de la institucioacuten donde trabaja y se expone por tanto a las sanciones que la institucioacuten hayafijado

Existe una razoacuten maacutes teacutecnica y praacutectica Una praacutectica relativamente frecuente de delincuentesdigitales es robar el identificador de una persona y el password correspondiente Una vez hecho estoel delincuente prueba ese password en todas las cuentas que la viacutectima pueda tener Si la viacutectimautiliza el mismo password en varios servicios distintos corre el riesgo de que varias de sus cuentassean hackeadas al mismo tiempo aumentando el riesgo que esto tiene para la persona afectada (ysus familiares amigos etc) Algunas de las motivaciones maacutes frecuentes del delincuente para haceresto son el robo el engantildeo tanto a la persona como a sus contactos y la instalacioacuten de malware en sucomputador

R Recomendacioacuten 2 Utiliza doble factor de autenticacioacuten en todas aquellascuentas que te lo ofrezcan

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 27: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

32 Capiacutetulo 6 Guiacutea de Higiene Digital

Siempre que puedas utiliza doble factor de autenticacioacuten Esto disminuye la probabilidadde que un delincuente pueda tener acceso a una cuenta protegida de esta forma

Una de las mejores formas de cuidar nuestra identidad es a traveacutes de un mecanismo llamadoautenticacioacuten de doble factor o doble autenticacioacuten que funciona a traveacutes de alguacuten objeto quetenemos (teleacutefono moacutevil tarjeta bancaria tarjeta de acceso etc) El tipo maacutes comuacuten de autenticacioacutende doble factor es a traveacutes del teleacutefono moacutevil Este mecanismo funciona de la siguiente forma

1 Cuando uno se conecta al sitio web de un servicio en liacutenea (por ejemplo nuestro correo electroacute-nico) por primera vez el sistema nos pide que ingresemos nuestro username y nuestro password

2 Uno ingresa su username y password3 Si el password es correcto entonces el sistema nos enviacutea un mensaje de texto (SMS) a nuestro

teleacutefono con un coacutedigo o clave numeacuterica4 Una vez que el mensaje llega a nuestro teleacutefono uno ingresa el coacutedigo5 Si el coacutedigo es correcto el sistema nos da acceso al servicio (a nuestro correo)El sistema anterior es maacutes seguro que la forma tradicional de autenticarse pues depende no soacutelo de

que la persona sepa su username y password sino tambieacuten de que posea su teleacutefono Posee tambieacutenla desventaja de que para poder ingresar a un servicio la persona necesita tener su teleacutefono en elmomento en que esteacute ingresando al sistema

En general es difiacutecil que un atacante averiguumle nuestro password y robe nuestro teleacutefono al mismotiempo (iexcly tenga tiempo para hackear una cuenta asociada a ambas cosas antes de que nosotros podamosbloquear una de los dos)

El cuadro 61 (paacuteg 33) muestra una seleccioacuten de servicios y redes sociales que ofrecen dobleautenticacioacuten a la fecha de este documento (septiembre de 2017)

Lamentablemente en Chile muy pocos servicios en liacutenea (banca retail gobierno etc) cuentancon autenticacioacuten de doble factor En este caso es necesario compensar la falta de seguridad poniendoeacutenfasis en el resto de las medidas contenidas en este documento

622 Cuida tus passwordsEl password es hoy el mecanismo maacutes utilizado para acceder a servicios de acceso restringido

A pesar de que ha habido muchas propuestas alternativas es muy poco probable que los passwordslleguen a ser reemplazados en el futuro cercano

Un buen password es aquel que es faacutecil de recordar para la persona que lo creoacute y difiacutecil de adivinaro averiguar para cualquier otra persona Lamentablemente esto es difiacutecil de hacer porque los passwordsmaacutes seguros son cadenas de caracteres escogidos aleatoriamente y eacutestos son muy difiacuteciles de recordarIncluso cuando los escribimos estos passwords son tan difiacuteciles de ingresar en un teclado o la pantallade un teleacutefono inteligente que usualmente terminamos renunciando a passwords seguros y usamospasswords que en vez de eso son faacuteciles de recordar y de ingresar en cualquier parte (como ldquo123456rdquo)

Algunas recomendaciones para cuidar tus passwords

R Recomendacioacuten 3 Usa passwords distintos para cada identidad digitalSeguacuten un estudio del antildeo 2007 las personas tenemos en promedio 25 cuentas o sitiosque requieren de un password y tenemos en promedio 65 passwords distintos [7] Estosignifica que en promedio reusamos el mismo password en alrededor de 4 sitios

Es posible a traveacutes de teacutecnicas que estaacuten descritas en la ldquoGuiacutea de Uso de Passwordsrdquo (paacuteg45) el tener un password distinto para cada identidad digital que uno posee Como cada

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 28: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

62 Higiene digital personal 33

Nombre ser-vicio

Tipo servicio URL Observaciones

Banco deChile

Banca en liacutenea httpsportalpersonas

bancochileclpersona

Disponible viacutea token por software y tokenpor hardware

BancoEstado Banca en liacutenea httpswwwbancoestadocl

imagenescomun2008nuevo_

paglg_pers2html

La clave de ingreso a cuenta personal estaacutecompuesta por 4 diacutegitos disponible por to-ken no digital (tarjeta impresa de coacutedigos)

Dropbox Almacenamientode documentos

httpswwwdropboxcom Disponible a traveacutes de SMS token por soft-ware y token por hardware

Facebook Red social httpsfacebookcom Disponible viacutea SMS con restricciones (maacute-ximo un teleacutefono por cuenta)

Gmail Correo electroacute-nico viacutea web

httpsgmailcom Disponible viacutea SMS llamada telefoacutenica to-ken por software y token por hardware

Google Dri-ve

Almacenamientoy edicioacuten dedocumentos

httpsdrivegooglecom Disponible a traveacutes de SMS llamada te-lefoacutenica token por software y token porhardware

Instagram Red social httpswwwinstagramcom Disponible viacutea SMSLastPass Administrador

de passwordshttpslastpasscom Disponible viacutea token por software y token

por hardwareLinkedIn Red social httpslinkedincom Disponible viacutea SMSOutlookcom Correo electroacute-

nico viacutea webhttpsoutlooklivecom

owa

Disponible viacutea SMS y token por software

Slack Comunicacioacuteny trabajo enequipo

httpsslackcom Disponible viacutea SMS y token por software

Skype Comunicacioacutenviacutea video

httpswwwskypecomen Disponible viacutea SMS y token por softwaresoacutelo a traveacutes de una cuenta Microsoft Nodisponible para cuentas Skype originales

Telegram Comunicacioacutenviacutea mensajes

httpstelegramorg Disponible viacutea SMS y llamada telefoacutenica

Twitter Red social httpstwittercom Disponible viacutea SMS con restricciones (soacuteloalgunos proveedores maacuteximo 10 cuentaspor nuacutemero de teleacutefono maacuteximo un nuacutemerotelefoacutenico por cuenta)

WhatsApp Comunicacioacutenviacutea mensajesaudio y video

httpswwwwhatsappcom Disponible viacutea SMS y llamada telefoacutenica

Yahoo Mail Correo electroacute-nico viacutea web

httpsmailyahoocom Disponible viacutea SMS

Zoho Mail Correo electroacute-nico viacutea web

httpswwwzohocommail Disponible viacutea SMS y token por software

Cuadro 61 Seleccioacuten de servicios en liacutenea que ofrecen doble autenticacioacuten Adaptado de https

twofactorauthorg Consultado el 2mayo2017

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 29: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

34 Capiacutetulo 6 Guiacutea de Higiene Digital

persona posee necesidades distintas respecto de sus identidades nuestra recomendacioacutenes leer y utilizar las teacutecnicas descritas en esa guiacutea para tener passwords separados porcada identidad

R Recomendacioacuten 4 Usa passwords largos y difiacuteciles de adivinar por otraspersonasEn general los passwords maacutes largos son maacutes seguros para la mayor parte de los propoacutesi-tos cotidianos El queacute tan largo debe ser un password depende de para queacute se utilizaraacute yde la teacutecnica que se utilice para generarlo Por ejemplo si se desea tener passwords delargo arbitrario compuestos por combinaciones aleatorias de caracteres se puede utilizarun Administrador de Passwords Si se desea crear passwords seguros que a la vez searelativamente sencillo memorizar se puede utilizar la teacutecnica ldquodicewarerdquo junto con elldquomeacutetodo de locirdquo Ambos recursos y otros adicionales son descritos en detalle en laldquoGuiacutea de Uso de Passwordrdquo (paacuteg 45)

R Recomendacioacuten 5 Cambia tu password soacutelo si sospechas que fue hackeadoAl contrario de lo que muchos recomiendan cambiar el password obligadamente concierta frecuencia (pej cada 3 meses) nos lleva a utilizar variaciones predecibles denuestro password y esto nos lleva a tener passwords menos seguros [3] [22] Porejemplo una estrategia que frecuentemente usamos es agregar un signo de exclamacioacuten alfinal creyendo que con eso hacemos nuestro password maacutes seguro [22] es por tanto unacombinacioacuten comuacuten que puede intentar un atacante queriendo adivinar nuestro password

Por tanto a menos que la poliacutetica de tu organizacioacuten te obligue a hacerlo no cambiestu password con frecuencia Es mejor cambiarlo soacutelo si sospechas que pudo haber sidohackeado (en ese caso caacutembialo urgentemente)

623 Cuida tus datos personalesTodos y cada uno de nosotros tenemos una vida privada Existe mucha informacioacuten que no deseamos

compartir con el resto del mundo y eso es perfectamente legiacutetimo El problema es que hoy es maacutes faacutecilque nunca para personas e instituciones que desean conocer nuestra vida privada el ldquominarrdquo informacioacutensobre nosotros cada vez que hacemos click sobre un link o colocamos ldquoMe gustardquo en un artiacuteculo opublicamos un post en Facebook o hacemos las compras de la semana en el supermercado estamosentregando informacioacuten a empresas y organizaciones con la que pueden crear un ldquoperfilrdquo de nosotrosHoy existen algoritmos que le permiten a empresas como Facebook por ejemplo comparar nuestrosperfiles con el de millones de otras personas y deducir cosas sobre nosotros que nunca hemos dichoexpliacutecitamente a nadie como nuestra orientacioacuten sexual [9]

Incluso peor existen empresas digitales que se dedican a rastrearnos permanentemente a traveacutes dedistintos sitios web y a entender nuestros haacutebitos de navegacioacuten y de compra en liacutenea Es por eso quehoy maacutes que nunca es importante aprender a cuidar nuestros datos

Muchas de las organizaciones que se dedican a construir perfiles digitales de nuestra vida seencuentran fuera de Chile lo que hace en la praacutectica imposible el poder entablar una demanda contraellas en el caso hipoteacutetico (aunque poco probable) de que pasaran a llevar nuestros derechos respectode nuestra vida privada

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 30: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

62 Higiene digital personal 35

Existen algunas recomendaciones generales para proteger nuestra informacioacuten a traveacutes del nave-gador tanto si navegamos en sitios chilenos como extranjeros que entregaremos maacutes adelante Sinembargo hay recomendaciones en el aacutembito de sitios y organizaciones chilenas que debes conocer

Tanto en el sector privado como en el puacuteblico rige en Chile la Ley 19628 de proteccioacuten de lavida privada [5] En algunos casos especiacuteficos algunos organismos puacuteblicos estaacuten autorizados por leya preguntarnos algunos datos privados (por ejemplo cada 10 antildeos el INE realiza un censo y puedehacernos preguntas muy privadas) Sin embargo en la inmensa mayoriacutea de los casos para que unaempresa o servicio puacuteblico recolecte nuestros datos privados debe pedirnos autorizacioacuten expresa (esdecir por escrito) Antes de obtener nuestra autorizacioacuten debe

1 Informarnos claramente del propoacutesito de la recoleccioacuten de datos2 Informarnos si esos datos seraacuten comunicados a otras personas u organizaciones4Las organizaciones estaacuten obligadas a usar la informacioacuten que recolecten soacutelo para el propoacutesito para

el que la recolectaron5 Existen dos casos especiales1 Informacioacuten sensible Las organizaciones no pueden recolectar datos sensibles (apariencia

fiacutesica tipo racial opiniones poliacuteticas creencias religiosas estado de salud vida sexual etc)6La excepcioacuten es cuando esto es necesario para determinar u obtener alguacuten beneficio de salud(por ejemplo el Ministerio de Desarrollo Social obtiene y guarda informacioacuten sobre la condicioacutende discapacidad para poder otorgar algunos subsidios o bonos a personas)

2 Informacioacuten puacuteblica Las organizaciones pueden recolectar sin nuestra autorizacioacuten aquellosdatos personales sobre informacioacuten comercial o financiera que ya sea puacuteblica independientemen-te de si es (por ejemplo) de naturaleza financiera o de si son sobre nuestra profesioacuten direccioacuteneducacioacuten u otros

Adicionalmente seguacuten la Ley 19880 de Procedimiento Administrativo [4] en nuestra relacioacuten conlas instituciones puacuteblicas todos tenemos derecho a no presentar documentos ldquoque ya se encuentren enpoder de la administracioacuten puacuteblicardquo7

Dado todo lo anterior nuestras recomendaciones son las siguientes

R Recomendacioacuten 6 Entrega soacutelo aquella informacioacuten que sea estrictamentenecesariaMuchas veces al crear una cuenta al solicitar un servicio o al intentar dejar un reclamolas organizaciones nos solicitan maacutes datos de lo estrictamente necesario Por ejemplopara comprar un producto en liacutenea una empresa podriacutea solicitarte crear una cuenta en susitio web Excepto en el caso en que la empresa deba despachar el producto que estaacutescomprando a tu casa o a tu trabajo usualmente la empresa no necesita ni tiene porqueacuteconocer tu direccioacuten particular En caso de que te exijan conocer informacioacuten privadapara poder brindarte un servicio o venderte un producto simplemente busca una tienda oproveedor alternativo

4Ley 19628 Art 4 paacuterrafos 1 y 2 ldquoEl tratamiento de los datos personales soacutelo puede efectuarse cuando esta ley u otrasdisposiciones legales lo autoricen o el titular consienta expresamente en ello La persona que autoriza debe ser debidamenteinformada respecto del propoacutesito del almacenamiento de sus datos personales y su posible comunicacioacuten al puacuteblicordquo

5Ley 19628 Art 9 ldquoLos datos personales deben utilizarse soacutelo para los fines para los cuales hubieren sido recolectadossalvo que provengan o se hayan recolectado de fuentes accesibles al puacuteblicordquo

6Ley 19628 Art 10 ldquoNo pueden ser objeto de tratamiento los datos sensibles salvo cuando la ley lo autorice exista con-sentimiento del titular o sean datos necesarios para la determinacioacuten u otorgamiento de beneficios de salud que correspondana sus titularesrdquo

7Ley 19880 Art 17 letra c) ldquoLas personas en su relacioacuten con la Administracioacuten tienen derecho a c) Eximirse depresentar documentos que no correspondan al procedimiento o que ya se encuentren en poder de la Administracioacutenrdquo

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 31: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

36 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 7 Nunca ingreses informacioacuten en una paacutegina sin estar se-guro de quieacuten la estaacute pidiendoAntes de ingresar informacioacuten privada en un sitio web siempre debes comprobar la direc-cioacuten del sitio web en la barra superior de tu navegador El nombre del sitio web que estaacutesvisitando es el que se encuentra entre el http o https y la siguiente barra diago-nal (ldquordquo) Por ejemplo en la direccioacuten httpmalwarecomwwwbuensitiocomel nombre del sitio web es malwarecom no wwwbuensitiocom iexclNunca ingresesinformacioacuten privada (incluidos tus passwords) sin haber confirmado que el sitio que estaacutesviendo concuerda con el nombre del sitio en la barra del navegador

R Recomendacioacuten 8 Nunca ingreses tus datos en un sitio que no sea seguroCuando visitas una paacutegina web la informacioacuten viaja fiacutesicamente desde el servidor deuna institucioacuten especializada hasta tu computador Si la comunicacioacuten no es cifradaentonces en teoriacutea cualquier persona puede observar la informacioacuten que recibes y la queenviacuteas desde tu computador Antes de ingresar tus datos en un sitio web confirma quela comunicacioacuten sea segura aseguraacutendote de que la direccioacuten en la barra del navegadorcomience con https y no con http

63 Higiene con dispositivos digitales

Durante los uacuteltimos antildeos se ha acentuado la tendencia a considerar los dispositivos (computadoresteleacutefonos tablets etc) como de uso personal En general compartimos nuestro teleacutefono soacutelo a nuestraspersonas maacutes cercanas (hijos parejas) y soacutelo por espacios controlados Una excepcioacuten a esto se da enel hogar donde las personas que viven bajo el mismo techo comparten el uso de dispositivos comotelevisores o tablets

A pesar de lo anterior en general solemos tener menos cuidado del que deberiacuteamos con nuestrosdispositivos En 2014 una encuesta realizada en Estados Unidos por Consumer Reports reportaba queel 34 de los usuarios de smartphones no utilizaba ninguacuten meacutetodo para bloquear su teleacutefono y el36 utilizaba un nuacutemero de cuatro diacutegitos (la forma maacutes baacutesica de bloquear el teleacutefono) [21] Estoincluso a sabiendas de que nuestros teleacutefonos tienen acceso a una enorme cantidad de informacioacutensobre nosotros correo electroacutenico fotos redes sociales etc

Algunos de los principales problemas con los que tenemos que lidiar respecto de nuestros teleacutefonosson el robo la peacuterdida el que las personas muy cerca nuestro (por ejemplo en el transporte puacuteblico)husmeen lo que estamos escribiendo o conversando con otras personas y el que las aplicaciones quetenemos instaladas en nuestro teleacutefono espiacuteen lo que estamos haciendo

Con respecto a los computadores personales (tanto en la oficina como en nuestra casa) a pesar deque el robo y la peacuterdida pueden constituir un problema eacuteste es mucho menos frecuente que con losteleacutefonos moacuteviles En cambio el que una persona se siente frente a mi computador sin mi autorizacioacuten nimi conocimiento mientras yo estoy ausente es un problema potencialmente maacutes grave (y posiblementemaacutes frecuente)

631 Bloquea tu computadorteleacutefonoFrente a los problemas anteriores una forma sencilla de evitar el problema tanto con smartphones

como con computadores es bloquearlos para impedir que otros tengan acceso a eacuteste

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 32: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

63 Higiene con dispositivos digitales 37

Todos los computadores laptops tablets y smartphones modernos ofrecen opciones para blo-quearlos y evitar que otras personas tengan acceso a nuestros aparatos En los teleacutefonos iPhones esobligatorio el utilizar un mecanismo de bloqueo (el mecanismo por defecto es una clave de cuatrodiacutegitos) En teleacutefonos Android no existe un mecanismo de bloqueo por defecto sin embargo uno puedeescoger entre un nuacutemero de 4 o maacutes diacutegitos un password un mecanismo visual u otros

En los computadores con Microsoft Windows se puede bloquear el computador presionando lasteclas ldquoWindowsrdquo y ldquoLrdquo (de ldquolockrdquo) para desbloquear se utiliza la combinacioacuten CONTROL + ALT +SUPRIMIR y luego se ingresa el password del usuario que bloqueoacute el computador En los computadorescon iOS (Mac) o Linux (Ubuntu RedHat Mint etc) existen mecanismos similares para bloquear elcomputador En todos los casos para desbloquear es necesario ingresar el password del usuario quebloqueoacute el equipo

A diferencia de los computadores donde el proceso para bloquear y desbloquear el computadores siempre el mismo para los smartphones existe una variedad de meacutetodos Esto se debe a que en losteleacutefonos el proceso de escribir o tipear una palabra o password es cualitativamente distinto porque elteclado es visual y se presenta a traveacutes de una pantalla muy pequentildea tipear una palabra o un passwordtoma maacutes tiempo y se cometen maacutes errores en comparacioacuten con un teclado ldquofiacutesicordquo [13] Existendiferencias tambieacuten en los teclados en distintas plataformas en general el teclado de los iPhonespermite escribir maacutes raacutepido y con menos errores que los teclados en otras plataformas [16]

A raiacutez de lo anterior se ha desarrollado una enorme variedad de meacutetodos visuales para desbloquearun teleacutefono basados en (por ejemplo) el reconocimiento de imaacutegenes o en unir puntos en la pantalla enun orden determinado [17] Ninguacuten meacutetodo posee ventajas o desventajas muy grandes sobre el resto[16] [17] lo importante es utilizar alguacuten meacutetodo para disminuir la posibilidad de que otros accedan anuestro teleacutefono y a toda la informacioacuten que almacenamos alliacute

R Recomendacioacuten 9 Bloquea tu teleacutefono por lo menos con un nuacutemero de cua-tro diacutegitosEste consejo va especialmente para los usuarios de teleacutefonos Android pues en estosteleacutefonos es posible no utilizar ninguacuten mecanismo de bloqueo

R Recomendacioacuten 10 Bloquea tu computador siempre que te ausentes pormaacutes de unos segundosEsto es especialmente recomendable para el lugar de trabajo donde otras personas puedensentarse y tener acceso a mi computador (no soacutelo colegas de trabajo sino tambieacuten personasque no pertenecen a la institucioacuten)

632 Manteacuten tu computadorteleacutefono actualizadoMantener el computador el teleacutefono y en general los dispositivos digitales que uno posee al diacutea con

las uacuteltimas actualizaciones de seguridad es una de las medidas maacutes importantes para protegerse de lasinfecciones por malware

R Recomendacioacuten 11 Manteacuten tu teleacutefono actualizadoEs mejor configurar tu teleacutefono para que instale de manera automaacutetica las actualizacionesde seguridad existentes Mientras menos tiempo pase entre la publicacioacuten de actualizacio-nes de seguridad y su instalacioacuten en tu teleacutefono menor seraacute la posibilidad de que sufrasataques dirigidos a explotar posibles vulnerabilidades

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 33: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

38 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 12 Manteacuten tu computador actualizado (ojalaacute de maneraautomaacutetica)Tanto en Microsoft Windows como en Mac y en Linux existen formas de configurar elsistema operativo para que revise automaacuteticamente si existen actualizaciones de seguridady para que las instale de manera automaacutetica En caso de que la instalacioacuten automaacutetica seauna molestia (por ejemplo porque interfiere con tus labores habituales) debes hacerte elhaacutebito de revisar con periodicidad si existen actualizaciones e instalarlas cuando existenComo generar haacutebitos es difiacutecil la primera recomendacioacuten es configurar este procesopara que se ejecute de manera automaacutetica

R Recomendacioacuten 13 Si tienes un computador con Microsoft Windows insta-la un antivirus y mantenlo actualizadoEsta es una de las recomendaciones maacutes conocidas por el comuacuten de las personas y (pro-bablemente por la misma razoacuten) una de las maacutes desoiacutedas Hoy en diacutea es absolutamentenecesario instalar y mantener actualizado un antivirus en un computador con MicrosoftWindows Tener un antivirus instalado y no actualizado es en la praacutectica similar a notenerlo ademaacutes de la rapidez con que aparecen nuevos virus entrega una falsa sensacioacutende proteccioacuten

A diferencia de Microsoft Windows iOS y Linux son sistemas operativos donde a pesarde que existe malware eacuteste opera de forma sustancialmente distinta del malware enWindows Por esta forma distinta de operar en estos sistemas no es estrictamente necesa-rio mantener un antivirus siempre y cuando el sistema se mantenga permanentementeactualizado seguacuten las indicaciones del fabricante o mantenedor del sistema operativo Porejemplo la empresa Canonical8 (mantenedores de Ubuntu Linux) provee actualizacionesde seguridad muy frecuentes (al menos una vez por semana) para la mayor parte de lasversiones de Ubuntu para algunas versiones especiacuteficas provee incluso actualizacionesdiarias

633 Revisa los permisos de las aplicaciones en tu teleacutefonoLos smartphones hoy son pequentildeos computadores con una caacutemara (algunos tienen maacutes de una)

y un sinnuacutemero de sensores Esto junto a la enorme variedad de aplicaciones que hacen uso de lainformacioacuten que proviene de estos sensores nos permite realizar una serie de tareas que hace dosdeacutecadas pareciacutean impensables (como tener un GPS de bolsillo) Sin embargo estas mismas capacidadesle permiten a los desarrolladores de las aplicaciones que usamos el tener acceso a exactamente la mismainformacioacuten de nosotros que obtenemos a traveacutes de las aplicaciones en nuestros teleacutefonos

Por ejemplo en julio de 2016 algunos usuarios notaron que cuando instalaban el juego PokemonGO en sus iPhones y creaban una cuenta para el juego a partir de una cuenta Google la aplicacioacutensolicitaba acceso completo a la cuenta en Google este acceso significaba que podiacutean (entre otras cosas)leer y enviar correo en Gmail y obtener en todo momento la posicioacuten del usuario marcada en GoogleMaps9 Niantic Labs (los creadores de Pokemon GO) publicaron una declaracioacuten diciendo que ldquosoacuteloutilizaban informacioacuten baacutesica del perfilrdquo del usuario y que corregiriacutean el problema10

8Ver httpswwwcanonicalcom Consultado el 7sept20179Ver httpswwwthevergecom201671112150468pokemon-go-privacy-full-account-access-permission

Consultado el 8sept201710Ver httpswwwthevergecom201671112156990pokemon-go-security-flaw-google-account-fix

Consultado el 8sept2017

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 34: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

64 Higiene en redes digitales 39

Precisamente por la misma razoacuten Google y Apple restringen la forma en que las aplicaciones ennuestros teleacutefonos tienen acceso a nuestra informacioacuten

En Android cada vez que instalamos una aplicacioacuten el sistema operativo nos muestra la listacompleta de permisos a los que la aplicacioacuten tendraacute acceso una vez que esteacute instalada nuestras uacutenicasdos opciones son aceptar que la aplicacioacuten utilice todo lo que solicita o no permitirlo (y por tanto noinstalar la aplicacioacuten)

En iPhone en cambio cada vez que la aplicacioacuten requiere acceso a un sensor (la caacutemara porejemplo) el sistema operativo nos muestra un mensaje preguntando si deseamos permitirlo Si nolo permitimos no obtendremos alguna funcionalidad de la aplicacioacuten pero no estamos obligados adesinstalar la aplicacioacuten si no lo deseamos asiacute

Muy pocos usuarios revisan las aplicaciones los permisos en las aplicaciones que instalan Unestudio en 2012 encontroacute que soacutelo el 17 de los usuarios de Android prestaban atencioacuten a los permisosdurante la instalacioacuten y soacutelo 3 del total comprendiacutea los permisos [6] A pesar de que los sistemas depermisos en ambas plataformas son muy distintos nuestra recomendacioacuten es esencialmente la misma

R Recomendacioacuten 14 Antes de instalar una aplicacioacuten revisa los permisosque requiere y sus comentarios negativos (si los hay)Si los permisos de una aplicacioacuten no coinciden con el propoacutesito de la aplicacioacuten noinstales la aplicacioacuten y busca una alternativa Por ejemplo el que una aplicacioacuten de fotossolicite acceso a la caacutemara pareceriacutea razonable a la mayor parte de las personas el que unaaplicacioacuten de linterna solicite acceso a tu ubicacioacuten fina a traveacutes de GPS probablementeno lo es

Cuando muchos usuarios instalan y prueban una aplicacioacuten y quedan insatisfechoscon ella es usual que algunos usuarios escriban recomendaciones negativas sobre lasaplicaciones para ayudar a otros usuarios Al reveacutes de las recomendaciones positivas (quepueden ser manipuladas) las recomendaciones negativas son frecuentemente honestas(aunque algunas veces pueden estar motivadas simplemente por frustracioacuten o rabia) Encualquier caso antes de instalar una aplicacioacuten es muy uacutetil revisar las recomendacionesnegativas si existen comentarios informados y serios advirtiendo sobre aspectos negativosde la aplicacioacuten es mejor no instalarla

64 Higiene en redes digitales

641 Protege tu navegacioacutenHoy existen aplicaciones que permiten protegerte de empresas ldquorastreadorasrdquo (trackers) que constru-

yen perfiles de ti a partir de tu navegacioacuten por Internet Estas aplicaciones se instalan sobre el navegadoren tu computador o teleacutefono e impiden a trackers obtener la informacioacuten que los sitios que visitasobtienen de ti

La mayor parte de estas aplicaciones funcionan basadas en ldquolistas blancasrdquo (whitelists) yo listasnegras (ldquoblacklistsrdquo) Una blacklist es una lista de rastreadores o anunciantes que tienen antecedentesde espiar a las personas mientras navegan Cada vez que visitas un sitio web a traveacutes de tu navegador enel que has instalado una aplicacioacuten basada en una blacklist la aplicacioacuten chequea el sitio web y bloqueatodas aquellas partes del sitio que provienen de rastreadores para evitar que estas organizaciones seenteren de queacute sitios estaacutes visitando Una whitelist funciona al reveacutes cuando visitas un sitio web eacutestees usualmente bloqueado excepto si estaacute expliacutecitamente dentro de la whitelist

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 35: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

40 Capiacutetulo 6 Guiacutea de Higiene Digital

Nuestra recomendacioacuten es la siguiente

R Recomendacioacuten 15 Instala al menos una aplicacioacuten de bloqueo de rastrea-dores y anuncios en tu navegadorAlgunas de las aplicaciones disponibles para muacuteltiples navegadores son (en orden alfabeacute-tico) AdBlock Plus Disconnect Ghostery Privacy Badger y NoScript Para ver detallessobre estas aplicaciones consulta el cuadro 62 maacutes abajo

Aplicacioacuten Desarrollada por Navegadoresdispositivoscompatibles

AdBlockPlus

Originalmente por Wladimir Palant en 2006 quienescrearon Eyeo (httpseyeocom USA) para susten-tar el desarrollo

Android Chrome Firefox In-ternet Explorer Opera Safari

Disconnect Disconnect Mobile httpsdisconnectme Chrome Firefox Opera Sa-fari Samsung browser

Ghostery Originalmente por David Cancel para Ghostery ad-quirida por Evidon Inc (USA) Hoy propiedad deCliqz (un emprendimiento en Alemania) httpswwwghosterycom

Chrome Edge Firefox Inter-net Explorer Opera Safari

PrivacyBadger

Electronic Frontier Foundation httpswwweff

orgprivacybadger

Chrome Firefox Opera

NoScript Giorgio Maone quien creoacute InformAction (Italia) parasustentar el desarrollo

Firefox (soacutelo browsers basa-dos en Mozilla)

Cuadro 62 Aplicaciones para bloqueo de rastreadores y anunciantes maliciosos

642 No instales aplicaciones fuera de los repositorios oficialesHoy Google y Apple (las compantildeiacuteas que estaacuten detraacutes de Android y iPhone respectivamente)

operan repositorios oficiales (App Stores) desde donde los usuarios de teleacutefonos inteligentes puedenbajar e instalar aplicaciones para sus teleacutefonos (Google Play y iTunes respectivamente) Como ambascompantildeiacuteas decidieron en alguacuten momento abrir el desarrollo de aplicaciones para sus teleacutefonos adesarrolladores independientes Google y Apple (e incluso algunos fabricantes de teleacutefonos comoSamsung) se preocupan de revisar para sus clientes todas las aplicaciones antes de que eacutestas seanpuestas a disposicioacuten del puacuteblico Ninguna aplicacioacuten puede ser publicada si no es autorizada antespor la compantildeiacutea correspondiente Este proceso sin embargo no garantiza que las aplicaciones queencontramos en las App Stores sean seguras soacutelo disminuye la probabilidad de que las aplicacionesque instalamos contengan malware

Por ejemplo en junio de 2017 la empresa TrendMicro reportoacute11 una libreriacutea de anuncios (Ads)maliciosa llamada Xavier que es utilizada por muchas aplicaciones en el repositorio oficial de Androidque obtienen ingresos a traveacutes de mostrar avisos comerciales a sus usuarios

Aun asiacute la cantidad de teleacutefonos afectados por malware es muy pequentildea En marzo de 2017Google reportoacute que la proporcioacuten de teleacutefonos Android con malware es de 071 para los usuarios

11Ver httpblogtrendmicrocomtrendlabs-security-intelligenceanalyzing-xavier-information-stealing-ad-library-android Consulta-do el 7sept2017

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 36: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

64 Higiene en redes digitales 41

que bajan aplicaciones desde fuera del repositorio oficial y de 005 para los usuarios que soacutelo bajanaplicaciones desde el repositorio oficial [14 p4] Considerando que Apple es auacuten maacutes restrictivo queGoogle con sus aplicaciones es probable que estas cifras sean auacuten menores para la plataforma iPhone

Para que una aplicacioacuten pueda provocar real dantildeo en un teleacutefono tiene que tener acceso al usuariocon maacutes privilegios en el sistema operativo Para esto no soacutelo hay que instalar aplicaciones que noesteacuten en los repositorios oficiales sino tambieacuten hay que intervenir el teleacutefono a traveacutes de un procesoconocido como jailbreaking en los iPhones y rooting en los Android Ambos procesos requiereninstalar software especiacutefico en el teleacutefono para ejecutar programas a traveacutes del usuario administradordel sistema operativo Este no es un proceso que ocurra por casualidad se requiere de una serie depasos que deben ser ejecutados por una persona con conocimiento teacutecnico y que es imposible queocurran durante la operacioacuten normal de un teleacutefono

Por eso las principales recomendaciones al respecto son

R Recomendacioacuten 16 No intervengas tu teleacutefono si no eres un usuario teacutecnicoavanzadoEsto es no hagas jailbreaking de tu iPhone o rooting de tu Android a menos que conozcasel proceso y seas capaz de tomar las medidas de seguridad adicionales necesarias paraprotegerte

R Recomendacioacuten 17 No instales aplicaciones fuera de los repositorios oficia-lesPara los usuarios de iPhones es relativamente difiacutecil instalar aplicaciones que no esteacutenen iTunes En Android es maacutes sencillo12 precisamente por esa razoacuten la recomendacioacutenpara los usuarios de Android es entonces no activar esta opcioacuten

643 No te conectes a redes inalaacutembrica que no conozcasCuando te conectas a una red inalaacutembrica (Wifi) todo tu traacutefico pasa a traveacutes de un pequentildeo

computador especializado conocido como router Este computador ademaacutes de conectarte a Internet(teacutecnicamente a un proveedor de servicios de Internet o ISP como Claro Entel WOM etc) esresponsable principalmente de mostrarte los sitios correctos (por ejemplo de mostrarte el verdaderowwwfacebookcom cuando quieres visitar tu cuenta de Facebook) Este computador estaacute siempre bajocontrol de alguien y esa persona empresa o institucioacuten puacuteblica puede decidir (si asiacute lo desea) restringirtu navegacioacuten de casi cualquier forma imaginable

1 Puede mostrarte otros sitios en vez de los que tuacute quieres visitar2 Puede silenciosamente censurar ciertos sitios para que no los visites o facilitar la visita a ciertos

sitios especiacuteficos3 Puede espiar tu traacutefico y mostrarte cosas basado en ese traacutefico4 EtcEn la praacutectica la confianza que uno puede tener en una red inalaacutembrica es la misma confianza

que uno deposita en la persona empresa o institucioacuten que controla el router Por tanto las principalesrecomendaciones sobre esto son las siguientes

12Para activar la instalacioacuten de aplicaciones fuera del repositorio oficial en Android es necesario ir a la configuracioacutenluego escoger la opcioacuten ldquoSistemardquo luego la opcioacuten ldquoSeguridadrdquo y luego activar la opcioacuten ldquoFuentes desconocidasrdquo

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 37: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

42 Capiacutetulo 6 Guiacutea de Higiene Digital

R Recomendacioacuten 18 Antes de conectarte a una red inalaacutembrica confirmacon alguna persona que pertenezca a la institucioacuten cuaacutel es el nombre de laredPor ejemplo si sueles tomarte un cafeacute en la tienda de la esquina pregunta a las personasque te atienden en el cafeacute cuaacutel es el nombre de la red antes de conectarte Tiendas comoStarbucks cambian cada cierto tiempo el nombre de la red en cada local

R Recomendacioacuten 19 Borra las conexiones a redes inalaacutembricas luego de ha-berlas utilizadoLa mayor parte de los computadores y teleacutefonos estaacuten configurados para recordar lasconexiones inalaacutembricas a las que nos hemos conectado y para conectarse automaacutetica-mente a una red cuando estamos la red es detectada (esto es sin necesidad de volver aingresar un password y sin siquiera avisarnos de ello) Esto puede prestarse para que unatacante cree una red inalaacutembrica con el mismo nombre y password de una red puacuteblica ala que alguna vez estuvimos conectados y tome control de nuestra conexioacuten a InternetPara evitar esto es mejor borrar las redes que uno no utiliza o (mejor auacuten) configurar elcomputador y teleacutefono para no conectarse automaacuteticamente a las redes que conoce

644 No abras correos o archivos de personas que no conocesEl correo electroacutenico es (y seguiraacute siendo durante un buen tiempo) una herramienta de comunicacioacuten

importante dentro de las instituciones Uno de los problemas maacutes complejos de esta herramienta sinembargo es que requiere poco conocimiento el hacerse pasar por otra persona y el enviar correosmasivos con el propoacutesito de engantildear a otros o de infectar sus computadores con malware (a traveacutes dearchivos adjuntos)

Es por esto que una de las principales recomendaciones es la siguiente

R Recomendacioacuten 20 No abras correo electroacutenico de personas o institucionesque no conocesA pesar de que esto no es suficiente en general es un muy buen haacutebito el no responder (ysimplemente eliminar) los correos de personas o instituciones que no conocemos iquestCoacutemohacemos para recibir correos de personas que conocemos pero de las cuales no hemosrecibido correo antes Para eso siempre deberiacuteamos primero chequear fiacutesicamente con lapersona su correo electroacutenico

R Recomendacioacuten 21 Siempre chequea las peticiones extraordinarias con la(s)persona(s) involucradasiquestCuaacuteles son las posibilidades de que a nuestro mejor amigo al que no vemos hace unpar de meses le hayan robado todo mientras paseaba por Ucrania que haya perdidosu pasaporte y su dinero y necesite que le prestes $2100 euros para pagar la cuentadel hotel La respuesta es depende de si es o no razonable que la persona en cuestioacutenesteacute viajando por Ucrania Este es un engantildeo tradicional a traveacutes de correo electroacutenico13

13Ver por ejemplo httpswwwtheguardiancommoney2013nov13stranded-traveller-phishing-scamConsultado el 8sept2017

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 38: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

64 Higiene en redes digitales 43

y lo maacutes probable es que alguacuten hacker haya tomado el control de la cuenta de correoelectroacutenico de nuestro amigo y esteacute enviando correos pidiendo dinero a toda la listade contactos de nuestro amigo En cualquier caso lo mejor que uno puede hacer essencillamente llamar a la persona por teleacutefono o ubicarla de alguna otra forma paraconfirmar la veracidad del problema

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 39: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

7 Guiacutea de creacioacuten de passwords

71 Introduccioacuten

711 iquestQueacute es un buen password

Una de las formas maacutes utilizadas hoy para tener acceso a recursos restringidos dentro de unainstitucioacuten es el uso de claves o passwords Un password siempre va acompantildeado de un nombre deusuario o username Un username le permite a una persona identificarse de manera uacutenica tal como lohariacutea (por ejemplo) a traveacutes de un RUN mientras que un password le permite a la persona comprobar aotros que es quien dice ser tal como lo hariacutea (por ejemplo) a traveacutes de una firma manuscrita

iquestQueacute constituye un ldquobuen passwordrdquo Es aquel que es faacutecil de recordar para la persona que lo creoacutey difiacutecil de ldquoadivinarrdquo para cualquier otra persona De manera similar una buena ldquofirmardquo es aquella quees sencilla de generar para la persona que la crea y difiacutecil de duplicar por cualquier otra persona

Una investigacioacuten del antildeo 2007 [7] estudioacute los passwords que maacutes de medio milloacuten de usuariosingresaron en su navegador durante maacutes de 3 meses Los investigadores llegaron a los siguientesresultados

Una persona tipea 8 passwords en promedio al diacuteaUna persona promedio tiene 65 passwords distintos y 25 cuentas o sitios que requieren de unpassword en consecuencia en promedio las personas reutilizaron cada password entre 39 sitiosdistintosLa mayor parte de las personas en el estudio escogieron passwords que teniacutean soacutelo letras minuacutes-culas (excepto en aquellos casos donde fueron obligados a escoger passwords con mayuacutesculassignos y letras)

Es muy difiacutecil para una persona promedio el pensar en 25 passwords distintos para aceder a cadauno de los recursos que lo requieren por ejemplo el computador en su oficina su teleacutefono inteligente(smartphone) su tablet el computador en su casa el sitio web de su banco los sitios web de lascuentas de su casa (electricidad agua luz teleacutefono) y un largo etceacutetera Por tanto la mayor parte de

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 40: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

46 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

las personas inevitablemente pensamos en unos pocos passwords y los reutilizamos en varias cuentasEsto no seriacutea un problema si escogieacuteramos passwords difiacuteciles de adivinar por otros Sin embargo

las personas somos notoriamente predecibles a la hora de escoger un password [11] [12] [15] [18] Espor eso que necesitamos algo de ayuda para crear nuestros passwords

Este capiacutetulo contiene una serie de criterios para ayudar a una persona a escoger un mejor meacutetodopara gestionar sus passwords Es una guiacutea no una norma fue hecha para ayudar especialmente a laspersonas que trabajan en la Administracioacuten Puacuteblica chilena Sin embargo deberiacutea ser uacutetil tambieacuten paracualquier persona que quiera proteger su informacioacuten a traveacutes de buenos passwords

712 Recomendaciones generales

En la Guiacutea de Higiene Digital (paacuteg 29) se entregan dos recomendaciones relacionadas con elcuidado de los passwords personales

1 Usa passwords distintos para cada identidad digital y2 Usa passwords largos y difiacuteciles de adivinar por otrosPara poder aplicar estas recomendaciones en esta guiacutea entregamos tres meacutetodos En general cada

persona debe utilizar el o los meacutetodos que maacutes se acomoden a su realidad Algunos criterios que puedenser de ayuda para escoger son los siguientes

1 Si tienes buena memoria utiliza alguacuten meacutetodo que te permita recordar passwords distintos paracada una de tus cuentas Los mejores meacutetodos (y los maacutes difiacuteciles) para gestionar los passwordspersonales son aquellos que aprendemos de memoria En este documento presentamos dosteacutecnicas para crear un password seguro y faacutecil de recordar (diceware (paacuteg 47) e historias PAO(paacuteg 47)) y dos para memorizar passwords (repeticioacuten espaciada y el meacutetodo de loci (ambos enla paacuteg 48))

2 Si no tienes tan buena memoria utiliza un administrador de passwords A la mayor parte de laspersonas nos cuesta recordar muchos passwords distintos En este documento recomendamosel uso de tres administradores de passwords LastPass (paacuteg 49) Dashlane (paacuteg 50) y Keepass(paacuteg 51) Estos administradores almacenan de forma segura todos los passwords que uno deseey requiere de un password maestro para tener acceso a ellos

3 Si eres mejor cuidando tus objetos personales utiliza una tarjeta de passwords En generallas personas somos muy buenas cuidando nuestros objetos personales como carteras relojes obilleteras Una tarjeta de passwords (paacuteg 52) es una tarjeta del tamantildeo de una tarjeta de creacuteditoque uno lleva permanentemente consigo y que con ciertos resguardos es muy uacutetil para usarpasswords distintos recordando un miacutenimo de informacioacuten

72 Meacutetodo 1 Usa passphrases

721 iquestQueacute es una passphrase

Una passphrase es un password largo tiacutepicamente compuesto de 15 caracteres o maacutes de largo[19 p1] y que se crea a partir de varias palabras separadas por espacios o signos de puntuacioacuten (porejemplo ldquoCORRECTOCABALLOBATERIacuteACOHETErdquo) Una passphrase tiene al menos dos ventajas porsobre los passwords tradicionales

La primera ventaja es que en teacuterminos generales mientras maacutes largo un password maacutes seguro esfrente a un ataque conocido como de ldquofuerza brutardquo donde el atacante prueba todas las combinacionesposibles de passwords basado en un alfabeto conocido (por ejemplo letras minuacutesculas y mayuacutesculasdel alfabeto espantildeol ademaacutes de nuacutemeros) Puedes ver una descripcioacuten detallada de en queacute consiste un

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 41: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

72 Meacutetodo 1 Usa passphrases 47

ataque de fuerza bruta en la paacuteg 55 Esta ventaja tambieacuten se da frente a los ataques de ldquodiccionariordquoUn ataque de diccionario es uno en que el atacante no prueba todas las combinaciones posiblesde caracteres sino de palabras que podriacutean formar parte del password La diferencia es sutil peroimportante describimos en queacute consiste este ataque en la seccioacuten 752 (paacuteg 57)

La segunda ventaja es que las passphrases formadas por palabras son en general maacutes faacuteciles derecordar [18] una desventaja es que al ser maacutes largas es maacutes frecuente cometer errores al tipearlos enun teclado Como normalmente uno no puede ver cuaacutel es el error esto nos obliga a borrar el passwordy tipearlo de nuevo por completo

722 iquestCoacutemo usar una passphrase

En primer lugar es necesario crear una buena passphrase luego es necesario memorizarla parapoder recordarla cuando sea necesario Para ambas cosas existen herramientas y recomendaciones

Crear una passphrase meacutetodo diceware

Existen varias formas de crear una passphrase Uno de los meacutetodos maacutes populares (y maacutes segurossi se utiliza correctamente) fue creado en 1995 por Arnold Reinhold1 El meacutetodo llamado diceware(que no tiene una traduccioacuten precisa desde el ingleacutes) consiste en escoger varias palabras siguiendo elsiguiente procedimiento para cada palabra

1 Tirar un dado de 6 caras 5 veces y anotar el resultado de cada tirada en un papel2 Formar un solo nuacutemero con los resultados de las tiradas Por ejemplo si las tiradas de dados

fueron 4 2 3 3 y 5 entonces el nuacutemero resultante es 423353 En una lista de palabras especialmente fabricada para ello se busca la palabra que corresponde

al nuacutemero obtenido anteriormenteEl procedimiento anterior se repite tantas veces como palabras se desee generar Tiacutepicamente

una passphrase con 4 o 5 palabras basta para la mayor parte de los usos cotidianos Existen variaslistas de palabras propuestas para este meacutetodo en varios idiomas distintos En la lista en espantildeol2 porejemplo la palabra correspondiente al nuacutemero 42335 es ldquojaulardquo Existen tambieacuten adaptaciones en liacuteneade este meacutetodo Por ejemplo en el sitio rempeus3 es posible generar passphrases de 5 o maacutes palabrasescogidas aleatoriamente

Crear una passphrase historias PAO

Un segundo meacutetodo para crear una passphrase es el de las llamadas historias PAO (Persona-Accioacuten-Objeto)4 Este meacutetodo es similar al anterior en vez de escoger una palabra tirando un dado varias vecesse escogen tres (o cuatro) palabras al azar

1 Una persona Por ejemplo Bill Gates2 Una accioacuten Por ejemplo comer3 Un objeto Por ejemplo bicicleta4 Un lugar Por ejemplo la Plaza de la ConstitucioacutenLa passphrase resulta de unir las palabras en el orden indicado arriba con los conectores adecuados

ldquoBill Gates come una bicicleta en la Plaza de la Constitucioacutenrdquo El resultado es usualmente una historia

1httpworldstdcom~reinholddiceware_en_espanolAhtm Consultado el 20abril20172La lista original en espantildeol estaacute en httpworldstdcom~reinholddiceware_espanolDW-Espanol-1txt

Consultado el 20abril20173httpswwwrempeusdicewarespanish Consultado el 21abril20174Este meacutetodo fue propuesto por Joshua Foer en 2011 en su libro ldquoMoonwalking with Einsteinrdquo (httpjoshuafoer

commoonwalking-with-einstein consultado el 21abril2017)

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 42: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

48 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

faacutecil de recordar (y segura contra ataques de ldquofuerza brutardquo y de ldquodiccionariordquo [1]) si se imagina lapersona realizando la accioacuten sobre el objeto

Memorizar una passphrasePara memorizar una passphrase que ha sido generada con un sistema como diceware existen dos

recomendaciones importantes1 Escribir la passphrase repetidamente La primera recomendacioacuten es

a) Escribir la passphrase 4 oacute 5 veces con laacutepiz y papel y luego destruir el papel en el cual seescribioacute (no basta con arrugar el papel es necesario romperlo en muchos pedazos o mejorauacuten quemarlo) es muy conveniente repetir esta accioacuten varios diacuteas seguidos espaciandocada vez maacutes la accioacuten

b) Tipear el password en un teclado 4 oacute 5 veces idealmente en el mismo sistema para el cualuno estaacute creando la passphrase tambieacuten se recomienda repetir esta accioacuten diariamentedurante varios diacuteas seguidos espaciando cada vez maacutes la accioacuten

2 Usar el meacutetodo del ldquopalacio de la memoriardquo La segunda recomendacioacuten es utilizar una teacutecnicallamada el ldquomeacutetodo de locirdquo5 conocida tambieacuten como del ldquotemplo de la memoriardquo Consisteen imaginar un paseo por una serie de habitaciones en un lugar conocido por la persona (porejemplo una casa donde haya vivido) donde se ldquocolocaraacuterdquo mentalmente objetos que representenlas palabras de la passphrase que uno desea recordar Cada vez que uno desea recordar lapassphrase recorre la casa imaginaria ldquovisualizandordquo los objetos que uno colocoacute alliacute antes

El principio baacutesico sobre el que se apoya la primera recomendacioacuten se llama ldquorepeticioacuten espaciadardquo6iquestCuaacutel de las dos recomendaciones deberiacuteamos seguir Nuestra recomendacioacuten es seguir ambas

por dos razones En primer lugar existe evidencia de que escribir una serie de palabras a mano generaun mayor nivel de recordacioacuten que el simplemente tipear las mismas palabras en computador [20]En segundo lugar existe evidencia soacutelida de que la repeticioacuten de palabras o conceptos a traveacutes decomputadores mejora su retencioacuten y posterior recuerdo [2] en particular si se trata de passwords [1]

Revisemos por ejemplo la siguiente passphrase que se generoacute a traveacutes del meacutetodo diceware7

Ejemplo 71 mdash Passphrase sin puntuacioacuten 805 ZANCO SOMOS GOL VANO

Podemos imaginar que el nuacutemero de nuestra casa es 805 que justo al lado de la puerta hay unzanco que el televisor en el living estaacute encendido transmitiendo un partido de fuacutetbol que un mensaje enel televisor dice ldquosomos golrdquo y que una persona al lado del televisor dice que el gol es en ldquovanordquo Parafinalizar podemos agregar signos de puntuacioacuten que nos permitan darle maacutes sentido a la passphrasepor ejemplo

Ejemplo 72 mdash Passphrase con puntuacioacuten 805ZANCOSOMOS-GOLVANO

73 Meacutetodo 2 Usa un administrador de passwords

Un administrador de passwords es un programa o servicio que le permite a una persona generarpasswords uacutenicos para sus distintas cuentas o servicios Se accede al administrador a traveacutes de unpassword maestro De manera muy general existen dos tipos aquellos que se instalan en el computador

5httpsenwikipediaorgwikiMethod_of_loci Consultado el 24abril20176El artiacuteculo de Wikipedia entrega una buena introduccioacuten httpsenwikipediaorgwikiSpaced_repetition

Consultado el 21abril20177Esta passphrase fue generada a traveacutes de httpswwwrempeusdicewarespanish Consultado el 17ma-

yo2017

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 43: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

73 Meacutetodo 2 Usa un administrador de passwords 49

personal y aquellos que son provistos a traveacutes de un sitio web Una de las ventajas maacutes importantesde este tipo de servicios es que permiten generar un password uacutenico y aleatorio para cada servicioprograma o sitio web que uno maneje (el que sea aleatorio significa que es poco predecible y por tantoaltamente seguro) La desventaja maacutes evidente es la necesidad de recordar un password maestro

1 Si el password es poco seguro otras personas podriacutean adivinarlo y obtener acceso a todos losrecursos protegidos por el administrador

2 Olvidar el password maestro podriacutea quitarle a uno acceso de manera permanente a todos losservicios protegidos por el administrador

La funcionalidad baacutesica de un administrador de passwords es la siguiente una vez que unoinstala el software (ya sea sobre el navegador o en el computador) el software reconoce cuando unoestaacute ingresando un password y le ofrece a uno ldquorecordarrdquo ese password Si uno decide recordar elpassword en ese sitio las proacuteximas veces que uno visite el mismo sitio web el software permite llenarautomaacuteticamente el username y password

Todos los navegadores modernos (Firefox ChomeChromium Safari y Opera) ofrecen algunavariacioacuten de la funcionalidad anterior A continuacioacuten se describen tres administradores de passwordsdistintos las funcionalidades que ofrecen por sobre la funcionalidad baacutesica y las desventajas quepueden ser identificadas para cada uno

731 Lastpass

Lastpass es una aplicacioacuten para el browser que se sincroniza a traveacutes de un sitio web (httpslastpasscom) con plugins para Firefox Chrome Safari Internet Explorer y Opera8 Existenaplicaciones para Android y iPhone La aplicacioacuten estaacute disponible en espantildeol y tiene una versioacutengratuita y una pagada que entrega mayores funcionalidades

Funcionalidades

Las funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son lassiguientes

1 Una vez que uno instala el plugin en el navegador de su preferencia (eg Chrome) el proceso dedeteccioacuten de ingreso de usernames y passwords es automaacutetico El software es capaz de reconocercuaacutendo uno estaacute ingresando un password y de ofrecerle a uno ldquorecordarrdquo ese password Si unodecide recordar un password las proacuteximas veces que uno visite el mismo sitio web el softwarellenaraacute automaacuteticamente el username y password Si uno cambia el password en un sitio web elsoftware tambieacuten lo detecta y ofrece guardar el cambio

2 El software permite generar passwords aleatorios distintos para cada sitio permitiendo escogerparaacutemetros del password como su largo el set de caracteres para componer el password si elpassword debe ser ldquopronunciablerdquo y otros

3 Los passwords se guardan localmente en el computador encriptados con un password maestroconocido soacutelo por el usuario y no son transmitidos a los servidores de LastPass9 El sistemaofrece doble factor de autenticacioacuten para la recuperacioacuten del password maestro10

4 Ademaacutes del almacenamiento de usernames y passwords el servicio ofrece guardar notas segurasen las cuales uno puede guardar cualquier clase de mensaje o informacioacuten que uno consideresensible (por ejemplo el nuacutemero de tarjeta de creacutedito)

8httpslastpasscomfeatures_freephp Consultado el 11sept20179httpswwwlastpasscomhow-it-works Consultado el 11sept2017

10httpslastpasscommultifactor-authentication Consultado el 11sept2017

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 44: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

50 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

5 El software posee una funcionalidad llamada ldquoSecurity Challengerdquo que permite revisar y compa-rar los passwords que uno utiliza y que reporta dos cosas

a) En queacute sitios uno estaacute usando el mismo passwordb) Queacute passwords son faacutecilmente adivinables por otras personas

DebilidadesLa principal debilidad de este software no es teacutecnica sino legal tiene que ver con la inestabilidad de

los teacuterminos de uso y poliacutetica de privacidad del servicio como consecuencia de una serie de fusiones yventas con otras compantildeiacuteas

LastPass fue adquirido en octubre de 2015 por LogMeIn Inc un proveedor de software comoservicio (SaaS) de EEUU11 A su vez LastPass se encuentra (primer trimestre de 2017) en unproceso de fusioacuten con GetGo Inc una compantildeiacutea de inversiones en comunicaciones informacioacuten yentretenimiento12 Seguacuten la poliacutetica de privacidad de LogMeIn (que es la aplicable a LastPass) lainformacioacuten de los clientes y usuarios de LastPass seraacute compartida con ldquola familia de compantildeiacuteasLogMeIn (la que incluye GetGo) sin embargo tus datos continuaraacuten siendo usados soacutelo para lospropoacutesitos para los cuales fueron recolectadosrdquo13 La poliacutetica de privacidad de LogMeIn ofrece unformulario para solicitar que los datos no sean transferidos a la empresa resultante y advierte quecuando la fusioacuten termine habraacute una poliacutetica de privacidad unificada

En la praacutectica este tipo de problemas ocurre a menudo con las compantildeiacuteas de tecnologiacutea Cuando sefusionan o venden los teacuterminos de referencia y las poliacuteticas de privacidad de los servicios ofrecidos(que son un contrato entre el usuario del servicio y la compantildeiacutea) dejan de tener validez cuando laempresa que ofreciacutea el servicio deja de existir (cuando una empresa es vendida o se fusiona con otra lacompantildeiacutea original deja de existir) En general no existe ninguna obligacioacuten ni incentivo por parte de lasempresas para mantener los mismos teacuterminos de servicio que originalmente ofrecieron a sus clientes

En siacutentesis el servicio es teacutecnicamente muy bueno pero legalmente no existe ninguna garantiacutea deque los datos de las personas no vayan a ser transferidos a otra empresa dentro de algunos meses oantildeos Por eso recomendamos utilizar este servicio soacutelo para cuentas y servicios personales o privadasen ninguacuten caso podemos recomendar este servicio para guardar los passwords de servicios como elcorreo institucional del Ministerio de Defensa o los sistemas documentales del Ministerio de Defensa

732 DashlaneDashlane es una aplicacioacuten para el computador personal y para dispositivos moacuteviles (https

wwwdashlanecom) Estaacute disponible para Windows y Mac (no para Linux) y posee versionespara Android iPhone y Windows Phone Estaacute disponible en espantildeol y tiene una versioacuten gratuita y unapagada14

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 De manera similar a LastPass Dashlane permite la deteccioacuten automaacutetica del ingreso de usernames

y passwords en sitios web y el reconocimiento del cambio de passwords en sitios web15 Dashlane11httpssecurelogmeincomhome Consultado el 11sept201712El sitio web de GetGo (httpwwwgetgocorpcom) estaacute vacante (abril2017) sin embargo al parecer la empresa

sigue existiendo seguacuten Bloomberg (httpswwwbloombergcomprofilescompaniesGTGOFUS-getgo-inc)13httpssecurelogmeincomhomepoliciesprivacy Consultado el 11sept201714httpswwwdashlanecomplans Consultado el 15mayo201715httpswwwdashlanecomfeaturespassword-manager Consultado el 15mayo2017

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 45: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

73 Meacutetodo 2 Usa un administrador de passwords 51

permite tambieacuten generar passwords aleatorios con distintas variaciones y opciones y permitecambiar passwords de manera automaacutetica en algunos sitios web16 (preferentemente en EstadosUnidos)

2 Al igual que LastPass Dashlane guarda los passwords localmente y no los transmite a losservidores de Dashlane17 La funcionalidad de autenticacioacuten de doble factor estaacute disponible soacutelopara la versioacuten pagada18

3 Dashlane tambieacuten permite guardar notas seguras4 El software ofrece una ldquobilletera virtualrdquo que permite guardar no soacutelo nuacutemeros de tarjetas de

creacutedito sino tambieacuten recibos o boletas de servicios19 El servicio incluye la asociacioacuten entre elnuacutemero de la tarjeta de creacutedito y la direccioacuten postal para poder llenar de manera maacutes aacutegil losformularios de compra en liacutenea

5 Una de las funcionalidades maacutes uacutetiles es la generacioacuten de mensajes de alerta para el usuariocuando ocurre un incidente de seguridad en un sitio web20

Debilidades

La empresa que opera Dashlane (Dashlane Inc) estaacute ubicada en Delaware EEUU Tal comomuchos otros servicios en liacutenea el servicio de Dashlane se entrega sin ninguna garantiacutea la empresaque opera Dashlane no es responsable de las condiciones de servicio y por el solo hecho de utilizarel software el usuario accede a no demandar a la empresa A pesar de que la empresa realiza ldquosumejor esfuerzordquo por brindar un servicio seguro no garantiza tampoco ni la confidencialidad de lacomunicacioacuten ni de la informacioacuten almacenada en el computador personal ni de la informacioacutentransmitida a traveacutes de las redes ni la seguridad de los passwords generados

El contrato unilateral anterior es tiacutepico de los servicios en liacutenea al igual que en el caso de LastPassDashlane es una muy buena opcioacuten para todos aquellos datos que no sean altamente sensibles o quetengan relacioacuten con la seguridad nacional

733 Keepass

Keepass es un software libre (es decir no soacutelo gratuito sino que su coacutedigo fuente estaacute disponiblede manera puacuteblica) principalmente para Microsoft Windows (httpkeepassinfo) A pesar deque puede ser instalado en Linux Mac y otros sistemas operativos la integracioacuten con estos sistemasoperativos no funciona bien y gran parte de la funcionalidad maacutes uacutetil se pierde

A diferencia de los sistemas anteriores este software es exclusivamente para computadores deescritorio no existen versiones de este software para teleacutefonos moacuteviles y por tanto no se puede utilizarpara ingresar a traveacutes del teleacutefono moacutevil propio Sin embargo posee una ventaja muy fuerte que noposeen las dos anteriores al ser un sistema que se puede instalar en el computador uno mantienecompleto control (y jurisdiccioacuten legal) sobre la informacioacuten sensible que se coloque en el computadorEstaacute disponible en espantildeol y es completamente gratuito

Finalmente este software puede instalarse en un pendrive USB lo que permite llevarlo permanen-temente y usarlo en cualquier computador con Microsoft Windows al que uno tenga acceso

16httpswwwdashlanecompassword-changer Consultado el 15mayo201717httpswwwdashlanecomsecurity Consultado el 15mayo201718httpswwwdashlanecomplans Consultado el 15mayo201719httpswwwdashlanecomfeaturesdigital-wallet Consultado el 15mayo201720httpswwwdashlanecomfeaturessecurity-alerts Consultado el 15mayo2017

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 46: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

52 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

FuncionalidadesLas funcionalidades maacutes importantes de este software (por sobre la funcionalidad baacutesica) son las

siguientes1 El sistema permite automatizar en gran medida el ingreso de usernames y passwords y lo

complementa con casi cualquier tipo de ingreso de informacioacuten2 Al igual que en los casos anteriores la informacioacuten sensible se guarda de manera local se

encripta con el password maestro y nunca es enviada fuera del computador (o del pendrive USBdonde estaacute instalado)

3 De manera similar el software permite generar passwords aleatorios con distintas variaciones yopciones como el largo del password queacute set de caracteres se utiliza para generarlo etc

4 El software protege el password maestro cambiando frecuentemente su encripcioacuten Adicional-mente el software protege el password maestro de otros procesos que puedan estar corriendo enel mismo computador

5 El software es completamente ldquolocalrdquo puede ser instalado en un pendrive USB sin necesidad deinstalarlo en el computador que se utilice Esto permite utilizarlo en maacutes de un computador sininstalar archivos localmente

6 La lista de passwords puede ser exportada a archivos externos en varios formatos de uso comuacuten(txt html xml csv) Tambieacuten permite importar listas de passwords de un grupo reducido deotros administradores de passwords

DebilidadesEste software no posee la desventaja de los anteriores en el sentido de que por disentildeo la infor-

macioacuten nunca deja el computador (o el pendrive USB) desde donde se utiliza Sin embargo al serexclusivamente para computadores de escritorio con Microsoft Windows carece de la funcionalidad desincronizacioacuten que poseen los dos anteriores (Dashlane y LastPass)

74 Meacutetodo 3 Usa una tarjeta de passwords

Una tarjeta de passwords es una tarjeta del tamantildeo de una tarjeta de creacutedito con una tabla denuacutemeros y letras que puedes imprimir y llevar en tu billetera o cartera

En muchas instituciones es parte del ldquofolkore de seguridadrdquo el recomendar no anotar un passworden papel Sin embargo expertos en seguridad como Bruce Schneier han recomendado por antildeos crearun password aleatorio en un papel y guardar el papel en la billetera21 porque en general sabemosbien coacutemo cuidar nuestra billetera En la medida que no perdamos la billetera ni anotemos nuestrosusernames junto con los passwords correspondientes esta es una mejor idea que tener passwords faacutecilesde adivinar o reutilizarlos en muchos sitios distintos

Existen varias opciones de tarjetas de passwords en Internet A continuacioacuten describimos dosopciones

741 Password cardsEste es un servicio gratuito ofrecido por el sitio web httpswwwpasswordcardorgesCada vez que alguien visita el sitio web se genera una tarjeta nueva que el visitante puede bajar

e imprimir La tarjeta contiene una tabla con una serie de caracteres alfabeacuteticos y nuacutemeros (ver la

21httpswwwschneiercomblogarchives201403choosing_secure_1html Consultado el27abril2017

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 47: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

74 Meacutetodo 3 Usa una tarjeta de passwords 53

figura 71 en la paacuteg 53) Las filas estaacuten numeradas del 1 al 8 y las columnas estaacuten encabezadas por unsiacutembolo

Figura 71 Ejemplo de tarjeta de passwords generada por el sitio httpspasswordcardorges

(no utilizar)

Cada vez que uno requiere crear un password escoge una combinacioacuten de una siacutembolo (columna) yun nuacutemero (fila) y utiliza los caracteres que aparecen en la interseccioacuten de la fila y columna escogidasA partir de entonces cada vez que uno requiera ingresar el mismo password debe recordar el siacutemboloy nuacutemero con que fue creado y consultar en la tarjeta los caracteres correspondientes

iquestCoacutemo se utiliza esta tarjetaAntes de comenzar a utilizar la tarjeta uno debe escoger un largo de password y una direccioacuten

determinada1 El largo de un password es fundamental para evitar que sea adivinada por un atacante Mientras

maacutes largo sea un password maacutes difiacutecil es para un oponente el intentar adivinarlo (ver seccioacuten751 en paacuteg 55) El largo recomendado miacutenimo es de 10 caracteres para usos que no requieranun nivel alto de seguridad y 15 para aquellos sitios maacutes sensibles

2 A pesar de que lo natural es escoger el sentido de izquierda a derecha tambieacuten es posible escogerleer passwords en cualquier otro sentido (de arriba hacia abajo de derecha a izquierda o inclusoen diagonal)

Una vez escogido un largo de password y un sentido cada vez que uno necesita crear un passwordnuevo escoge un nuacutemero de fila (del 1 al 8) y un siacutembolo (de los presentes en la primera fila) y utilizael conjunto de caracteres que se encuentran en ese punto con el largo escogido en la direccioacuten escogidaEn vez de tener que recordar el password completo (lo que es difiacutecil pues son caracteres aleatorios)uno tiene que recordar el siacutembolo y el nuacutemero con el que ldquocreoacuterdquo el password

Por ejemplo supongamos que escogemos de antemano 10 caracteres de largo y el sentido deizquierda a derecha Supongamos que tenemos que crear un password para un sitio web de compras(por ejemplo Amazon) Al momento de crear el password supongamos que decidimos asociar elsitio Amazon con el siacutembolo peso ($) y con el nuacutemero 3 En la tarjeta que aparece en la figura 71encontramos el caraacutecter que se encuentra en la fila ldquo3rdquo y en la columna ldquo$rdquo (es el diacutegito 4) Incluyendoese caracter usamos los 10 caracteres que le siguen resultando el siguiente password 4VRPTSC7RJ

Cada vez que tengamos que ingresar el password en el sitio web Amazon tenemos que recordarque ese sitio estaacute asociado con la combinacioacuten ldquo$3rdquo y buscar los 10 caracteres correspondientes apartir de ese punto

En el caso de que una tarjeta se pierda (o sea robada) es posible generar una copia de la misma

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 48: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

54 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

tarjeta ingresando al sitio web que ofrece el servicio e ingresando el nuacutemero de identificacioacuten de latarjeta (que aparece en el borde inferior)

iquestQueacute tan segura es esta tarjetaEl propoacutesito de esta tarjeta es seguacuten su autor el ofrecer una forma de crear passwords maacutes seguros

que los usados tiacutepicamente por la mayor parte de los usuarios22 sin ninguna garantiacutea de ser segurospara usos maacutes sensibles En ese sentido repetimos aquiacute las recomendaciones maacutes relevantes que haceel autor a propoacutesito del uso de esta tarjeta

1 Manteacuten tu tarjeta contigo en tu billetera (idealmente junto a tu tarjeta de creacutedito)2 No marques el lugar donde estaacute tu password con el dedo ni hagas marcas con la untildea sobre la

tarjeta (por supuesto tampoco marques un password con laacutepiz o destacador) Una persona queesteacute mirando por encima de tu hombro sabraacute inmediatamente cuaacutel es tu password

3 Luego de generar una versioacuten de una tarjeta a traveacutes del sitio web borra el cache y la historia delnavegador

A pesar de lo anterior existen algunas consideraciones que es necesario tener en cuenta23 si sedesea utilizar esta tarjeta en casos maacutes triviales que las de un sitio web

1 La seguridad de la tarjeta se basa fuertemente en el nuacutemero de identificacioacuten de la tarjeta (elque aparece en el borde inferior) El nuacutemero es uacutetil para regenerar la tarjeta en caso de que unola pierda pero tambieacuten es uacutetil para un atacante Si alguien llega a conocer ese nuacutemero puederegenerar nuestra tarjeta a traveacutes del sitio

2 En caso de que un atacante llegara a robar nuestra tarjeta y a intentar ingresar a un sistemacon ella el nuacutemero total de passwords posibles que se puede escoger a partir de una tarjetano es grande En total existen 29 por 8 caracteres desde los cuales es posible ldquocomenzarrdquo unpassword Considerando que existen en teoriacutea 8 direcciones posibles (hacia arriba hacia abajohacia la izquierda hacia la derecha y otras cuatro direcciones en diagonal) existe un totalde 29 lowast 8 lowast 8 (1856) combinaciones posibles para un largo determinado de passwords Si seintentan (por ejemplo) todos los largos posibles entre 8 y 12 la cantidad no aumenta mucho29 lowast 8 lowast 8 lowast 5 (9280) Dado que el coacutedigo fuente con el que fue construido este software estaacutedisponible puacuteblicamente24 es relativamente sencillo generar un programa que pruebe todas lascombinaciones posibles de manera automaacutetica

742 Tarjetas QwertyEste es un producto ofrecido por la empresa Tream Tech Ltd de Reino Unido25 Esta tarjeta

es muy similar a la anterior pero no es ofrecida a traveacutes de un sitio web cada tarjeta es generadaaleatoriamente es impresa y luego enviada fiacutesicamente al cliente por correo

iquestCoacutemo se utiliza esta tarjetaEl procedimiento sugerido para ingresar un password utilizando una tarjeta Qwerty como la que

aparece en la figura 72 (paacuteg 55) es la siguiente1 Ingresar los caracteres que aparecen en la ldquobarra espaciordquo del teclado mostrado en la tarjeta (pej

SH(J3HQ)

22httpssecuritystackexchangecoma34885 Consultado el 27abril201723Estas consideraciones estaacuten basadas en el anaacutelisis publicado en stackexchangecom en la misma URL de la nota a pie

de paacutegina anterior24httpswwwpasswordcardorgalgorithmhtml Consultado el 27abril201725httpswwwqwertycardscom Consultado el 17mayo2017

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 49: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

75 Tipos de ataques 55

2 Ingresar una clave propia que seraacute siempre la misma para todos los passwords3 Ingresar la correspondencia caracter a caracter del sitio web o aplicacioacuten para la cual se estaacute

generando un password Por ejemplo si se estaacute creando un password para Amazon los caracteresque corresponden a la palabra ldquoAmazonrdquo son URQF

A diferencia del caso anterior no existe una forma de recuperar la tarjeta si es robada o si sepierde Como ventaja por sobre el caso anterior estas tarjetas son generadas de manera completamentealeatoria por tanto su nivel de seguridad es (en teoriacutea) muy alto

Figura 72 Ejemplo de tarjeta de passwords generada por la empresa Tream Tech Ltd (no utilizar)

iquestQueacute tan segura es esta tarjetaDe acuerdo con el proveedor cada tarjeta es generada con un equipo especial un generador de

nuacutemeros realmente aleatorios26 De ser cierto la fortaleza del password generado depende de trespartes

1 La parte del password que se encuentra en la barra espacio Seguacuten el proveedor esta parte delpassword contiene ldquoal menos un nuacutemero una letra minuacutescula una letra mayuacutescula y un caracterno alfanumeacutericordquo27 Al parecer esta parte tiene un largo de 8 caracteres Esta parte permiteagregar caracteres realmente aleatorios a todos los passwords haciendo maacutes difiacutecil el adivinaralguno (ver la seccioacuten 751 paacuteg 55)

2 La parte del password que escoge la persona y que es igual para todos los passwords que segeneran con la tarjeta Esto hace maacutes difiacutecil que un atacante pueda adivinar alguacuten password si latarjeta se pierde o es robada

3 La parte del password que es uacutenica respecto del sitio web o sistema para el que se desea generarun password Esto permite hacer uacutenico cada password asiacute generado

75 Tipos de ataques751 Ataque de ldquofuerza brutardquo

En esta seccioacuten del documento (de lectura optativa) se explica con un poco maacutes de detalle los tiposde ataque existentes y la mejor forma de protegerse contra dichos ataques

Descripcioacuten del ataqueEl ataque de ldquofuerza brutardquo consiste en probar todas las combinaciones posibles de passwords

El nuacutemero total de combinaciones posibles depende de dos factores el largo del password (es decirel nuacutemero de caracteres que tiene el password) y el tamantildeo del alfabeto desde donde se escogencaracteres para el password

26httpswwwqwertycardscomfrequent_questionsdifferent_codes Consultado el 17mayo2017 Los nuacute-meros ldquoaleatoriosrdquo que generan los computadores en realidad son seudo-aleatorios en realidad utilizan algoritmos que apartir de un dato inicial conocido como ldquosemillardquo generan nuacutemeros que son difiacuteciles de predecir y que (idealmente) generantodos los nuacutemeros dentro de cierto rango con igual frecuencia

27httpswwwqwertycardscomfrequent_questionsthree_part_codes Consultado el 17mayo2017

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 50: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

56 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

El largo del password determina de manera criacutetica la cantidad de combinaciones posibles Mientrasmaacutes largo mayor seraacute la cantidad de combinaciones posibles

El tamantildeo del alfabeto tiene que ver con cuaacutel es el conjunto total de caracteres (letras nuacutemerossignos de puntuacioacuten etc) desde el cual se escogeraacute un password Por ejemplo existen 27 letras en elalfabeto espantildeol Como las letras minuacutesculas y mayuacutesculas son consideradas distintas para efectos deescoger un password entonces el tamantildeo del alfabeto para los passwords compuestos soacutelo por letrases de tamantildeo 54 (27 lowast 2) Si uno decide tener passwords con letras y nuacutemeros entonces el tamantildeodel alfabeto aumenta a 64 (54 maacutes 10 diacutegitos) Un password soacutelo con nuacutemeros tendraacute un alfabeto detamantildeo 10

El cuadro 71 en la paacutegina 57 resume la cantidad de combinaciones posibles de passwords paradistintos largos suponiendo un alfabeto de tamantildeo 37 (el que resultariacutea de usar soacutelo letras minuacutesculas ydiacutegitos por ejemplo) Para dar una idea del grado de dificultad que representa para un atacante el probartodas las combinaciones posibles de passwords (para adivinar un password especiacutefico) usaremos dosatacantes ideales

1 Un atacante novato Este atacante puede usar soacutelo un computador y puede probar mil passwordsdistintos por segundo en ese computador En la tercera columna del cuadro 71 se indica el tiempo(ideal) que tomariacutea a este atacante probar todas las combinaciones posibles de passwords

2 Un atacante poderoso Este atacante puede usar 900000 computadores trabajando de maneraparalela (que es la cantidad estimada total de servidores que teniacutea Google en 2014 alrededordel mundo28) probando un milloacuten de combinaciones por segundo en cada computador ydonde ninguacuten computador se traslapa con otro (es decir no hay dos computadores probando elmismo password) No toma en cuenta el tiempo necesario para comunicar la respuesta entre loscomputadores La columna de la derecha en el cuadro 71 muestra el tiempo que le tomariacutea a esteatacante probar todas las combinaciones posibles de passwords En la praacutectica este ldquoatacanterdquoideal es un liacutemite superior de lo que es razonablemente posible a la fecha (agosto de 2017) paracualquier grupo de personas que no tiene acceso a los recursos de un Estado

Aplicabilidad del ataqueEste ataque es efectivo soacutelo si el atacante puede ldquoprobarrdquo passwords de manera relativamente

raacutepida Por ejemplo supongamos que la Presidenta tiene un correo electroacutenico personal en Gmail yque estamos decididos a averiguar el password A pesar de que en teoriacutea podriacuteamos probar todas lascombinaciones posibles del password en el sitio web de Gmail esto es poco praacutectico pues aunquepudieacuteramos probar un password por segundo la cantidad de combinaciones posibles es tan grande quenos tomariacutea demasiado tiempo Ademaacutes probablemente Google se dariacutea cuenta de lo que estamosintentando hacer mucho antes de que pudieacuteramos adivinar el password de la presidenta por fuerza bruta

En la praacutectica este ataque es muy poco ldquoeficienterdquo pero tiene la ventaja de que garantiza elencontrar un password determinado aunque pueda ser en un tiempo muy largo Una forma de hacereste ataque maacutes eficiente es distribuyendo la tarea entre muchos computadores sin embargo parapasswords relativamente largos sigue siendo un ataque impraacutectico Por ejemplo se estimaba en 2014que Google teniacutea alrededor de 900000 servidores alrededor del mundo29 Si pusieacuteramos a trabajartodos esos servidores en tratar de encontrar un password en paralelo seriacutea en teoriacutea posible averiguarcualquier password de 8 caracteres o menos en menos de un segundo Sin embargo si aumentamos ellargo del password a 15 caracteres le tomariacutea alrededor de 104 antildeos y 33 diacuteas a un atacante con esaenorme capacidad el averiguar el password si aumentamos el largo del password a 20 caracteres le

28httpswwwcloudyncomblog10-facts-didnt-know-server-farms Consultado el 7 de abril de 201729Ver pie de paacutegina anterior

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 51: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

75 Tipos de ataques 57

Largo delpassword

Nuacutemero de passwords po-sibles (con un alfabeto de37 signos)

Tiempo que tomariacutea probartodos los passwords a unatacante novato

Tiempo que tomariacutea probartodos los passwords a unatacante poderoso

4 1874161 31 minutos y 15 segundos Alrededor de 3 milloneacutesi-mas de segundo

6 2565726409 29 diacuteas 16 horas 42 minu-tos y 7 segundos

Alrededor de 3 mileacutesimasde segundo

8 3512479453921 111 antildeos 138 diacuteas 16 horasy 45 minutos

Alrededor de 4 segundos

10 4808584372417849 152479 antildeos y 77 diacuteas Alrededor de 1 hora y me-dia

12 6582952 billones 2087 millones de antildeos 84 diacuteas 15 horas y 47 minu-tos

14 9012061295 billones 2857706 millones de antildeos(alrededor de 20 veces laedad del universo)

317 antildeos 190 diacuteas 20 horasy 24 minutos

16 12337511914217 bi-llones

En la praacutectica inalcanzable 434688 antildeos y 299 diacuteas

18 169lowast1028 En la praacutectica inalcanzable 5951 millones de antildeos20 231lowast1031 En la praacutectica inalcanzable 8146768 millones de antildeos

(alrededor de 60 veces laedad del universo)

25 16lowast1039 En la praacutectica inalcanzable En la praacutectica inalcanzable

Cuadro 71 Nuacutemero total de passwords posibles en funcioacuten del largo del password (en nuacutemero decaracteres) asumiendo un alfabeto de 37 signos

tomariacutea al atacante alrededor de un milloacuten y medio de antildeos el averiguar el password

Proteccioacuten contra el ataque

La mejor forma de protegerse contra un ataque de fuerza bruta es escogiendo un password quetenga al menos 15 caracteres y que tenga al menos letras mayuacutesculas minuacutesculas y nuacutemeros En lapraacutectica y siempre que el uso no requiera de un nivel alto de seguridad un password de 10 caracteresde largo es uacutetil para la mayor parte de los usos cotidianos

752 Ataque de diccionarioDescripcioacuten del ataque

Un ataque maacutes eficiente que el de fuerza bruta es un ataque de diccionario El atacante en vez deprobar todas las combinaciones posibles prueba combinaciones de ldquopalabrasrdquo que es probable que elcreador del password haya utilizado (como ldquopasswordrdquo ldquo123456rdquo ldquoiloveyourdquo y otros) Este es unmejor ataque porque es mucho maacutes probable que utilicemos ldquoPedro1234rdquo como password en vez de unpassword aleatorio como ldquodh84qgk37jfrdquo

Las ldquopalabrasrdquo en este tipo de ataque son tomadas de una lista (llamada ldquodiccionariordquo) de pala-bras que las personas tiacutepicamente usamos en nuestros passwords Las palabras no tienen que estarnecesariamente formadas por letras una ldquopalabrardquo tiacutepica en muchos diccionarios podriacutea ser ldquo123456rdquo

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 52: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

58 Capiacutetulo 7 Guiacutea de creacioacuten de passwords

Este uacuteltimo fue el password maacutes comuacuten utilizado durante el 2016 seguacuten un estudio realizado por unaempresa de seguridad en Estados Unidos [10]

Ahora bien desde el punto de vista de una persona queriendo escoger un password maacutes seguro iquestqueacutetan seguro es escoger varias palabras como password en vez de un password de caracteres aleatoriosEn otras palabras iquestqueacute tan seguro es el meacutetodo de passphrases (descrito anteriormente) frente a unataque de diccionario

Mientras maacutes palabras tenga un diccionario mayor es el nuacutemero de combinaciones de (por ejemplo)cuatro palabras escogidas al azar en ese diccionario Por ejemplo si un diccionario contiene 1000palabras y escogemos 4 de ellas al azar existen poco maacutes de 41 mil millones de combinacionesposibles Como ademaacutes existen 24 formas posibles de ordenar cada una de las combinaciones de 4palabras existen en total poco maacutes de 994 mil millones de passphrases posibles (que le tomariacutea a unatacante novato alrededor de 31 antildeos y medio probar) Por tanto si el atacante y la viacutectima escogieranpasswords del mismo diccionario un password es maacutes seguro mientras maacutes palabras posea y mientrasmaacutes grande sea el nuacutemero total de palabras en el diccionario

Numde pala-bras endicc

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantenovato

Tiempo que tomariacutea probar todas laspassphrases de 4 palabras a atacantepoderoso

4 palabras 5 palabras 6 palabras 4 palabras 5 palabras 6 palabras1000 31 antildeos

189 diacuteas 18horas y 10mins

31393antildeos y 293diacuteas

312 millonesde antildeos

11 segs 18 mins y20 segs

12 diacuteas 16horas 2mins y 19segs

7776(dice-ware)

115846antildeos y 215diacuteas

9004 millo-nes de antildeos

69966951millones deantildeos (maacutesde 500 vecesla edad deluniverso)

1 hora 7mins y 40segs

1 antildeo 3horas y 30mins y 4segs

7774 antildeosy 39 diacuteas

Cuadro 72 Nuacutemero total de passphrases posibles en funcioacuten del nuacutemero de palabras en el diccionariodesde donde se toman palabras al azar para escoger una passphrase y el nuacutemero de palabras al azarescogidas para un password

Aplicabilidad del ataqueEn la praacutectica este es un ataque bastante praacutectico y efectivo Es relativamente sencillo escoger

diccionarios con palabras tiacutepicamente usadas por las personas para componer sus passwords Existenmuchos sitios web que publican diccionarios que han sido compilados de diversas formas Por ejemplo

1 Passwords robados de sitios web Muchas veces grupos de delincuentes roban listas de pass-words de sitios web muy usados (pej redes sociales) y los publican directamente en InternetAlgunos sitios de seguridad republican las listas de los passwords publicados sin la informacioacutende los nombres de usuario para facilitar la investigacioacuten en seguridad Por ejemplo skullsecu-rityorg30 publica listas de filtraciones de passwords de sitios como Facebook RockYou PhpBBMySpace Gawker y otros

30httpswikiskullsecurityorgPasswordsLeaked_passwords Consultado el 20abril2017

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 53: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

75 Tipos de ataques 59

2 Nombres de personas en Facebook Muchas personas utilizan sus propios nombres o nombresde familiares amigos o parejas para componer sus passwords El sitio skullsecurityorg tambieacutenpublica una lista de los nombres y apellidos maacutes comunes en Facebook31

3 Palabras comunes Es muy frecuente tambieacuten crear passwords con nombres de objetos combi-naciones de teclas en el teclado QWERTY nombres de ciudades citas de libros versiacuteculos delibros religiosos como la biblia o la torah etc El sitio korelogiccom publicoacute una lista de diccio-narios32 como base para un concurso que realizoacute la empresa durante la conferencia DEFCON2010

Por otro lado existen muchas herramientas gratuitas disponibles para (en teoriacutea) cualquier personaque permiten usar cualquiera de los diccionarios de arriba para intentar averiguar una passphrasePor ejemplo la herramienta que a la fecha (abril de 2017) es la maacutes raacutepida del mundo para crackearpasswords es Hashcat33

Proteccioacuten contra el ataqueLa mejor defensa posible contra este ataque es la misma que para un ataque de fuerza bruta

escogiendo passwords de caracteres aleatorios (con letras minuacutesculas mayuacutesculas y nuacutemeros) de almenos 15 caracteres de largo porque por definicioacuten un password aleatorio no va a estar contenido enun diccionario de palabras comunes

Si uno utiliza passphrases (paacuteg 46) en vez de passwords lo maacutes seguro es escoger al menos 5palabras verdaderamente al azar de un diccionario definido por ejemplo el meacutetodo diceware (paacuteg 47)con alguna lista de palabras en espantildeol o bien el generador en liacutenea en el sitio rempeus

31httpsblogskullsecurityorg2010return-of-the-facebook-snatchers Consultado el 20abril201732httpcontest-2010korelogiccomwordlistshtml Consultado el 20abril201733httpshashcatnethashcat Consultado el 24abril2017 El registro de velocidad se realizoacute en Junio de

2016 sobre un Sagitta Bruttalis (httpssagittapwhardwaregpu-compute-nodesbrutalis consultado el24abril2017) una maacutequina con 8 GPUs que cuesta alrededor de USD$21200

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 54: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

Referencias

[1] J Blocki M Blum y A Datta ldquoNaturally rehearsing passwordsrdquo paacuteginas 1-34 2015 DOI101007978-3-642-42045-0_19 arXiv 13025122 (veacutease paacutegina 48)

[2] C Caple ldquoThe effects of spaced practice and spaced review on recall and retention usingcomputer-assisted instructionrdquo Doctoral dissertation North Carolina State University 1996paacutegina 99 (veacutease paacutegina 48)

[3] A Das J Bonneau M Caesar N Borisov y X Wang ldquoThe tangled web of password reuserdquoProceedings 2014 Network and Distributed System Security Symposium nuacutemero Februarypaacuteginas 23-26 2014 DOI 1014722ndss201423357 direccioacuten httpwwwjbonneaucomdocDBCBW14-NDSS-tangled7B5C_7Dwebpdf (veacutease paacutegina 34)

[4] Estado de Chile Ley 19880 establece bases de los procedimientos administrativos que rigenlos actos de los oacuterganos de la administracioacuten del estado Santiago Chile 2008 direccioacutenhttpbcncl1uv5j (veacutease paacutegina 35)

[5] mdashmdash Ley 19628 sobre proteccioacuten de la vida privada Santiago Chile 2012 direccioacuten httpbcncl1uv2v (veacutease paacutegina 35)

[6] A P Felt E Ha S Egelman A Haney E Chin y D Wagner ldquoAndroid permissions userattention comprehension and behaviorrdquo Symposium on Usable Privacy and Security (SOUPS)2012 2012 (veacutease paacutegina 39)

[7] D Florencio y C Herley ldquoA large-scale study of web password habitsrdquo Proceedings of the 16thinternational conference on World Wide Web - WWW rsquo07 paacutegina 657 2007 ISSN 08963207DOI 10114512425721242661 (veacutease paacuteginas 32 45)

[8] P A Grassi M E Garcia y J L Fenton ldquoNist 800-63-3 digital identity guidelinesrdquo informeteacutecnico 2017 paacutegina 68 DOI 106028NISTSP800-63-3 direccioacuten httpnvlpubsnistgovnistpubsSpecialPublicationsNISTSP800-63-3pdf (veacutease paacutegina 30)

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 55: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

[9] C Jernigan y B F T Mistree ldquoGaydar facebook friendships expose sexual orientationrdquo FirstMonday volumen 14 nuacutemero 10 2009 direccioacuten httpfirstmondayorgojsindexphpfmarticleviewArticle26112302 (veacutease paacutegina 34)

[10] Keeper The most common passwords of 2016 2016 direccioacuten httpskeepersecuritycompublicMost-Common-Passwords-of-2016-Keeper-Security-Studypdf (visita-do 18-05-2017) (veacutease paacutegina 58)

[11] P G Kelley S Komanduri M L Mazurek R Shay T Vidas L Bauer N Christin L FCranor y J Loacutepez ldquoGuess again (and again and again) measuring password strength by simula-ting password-cracking algorithmsrdquo Proceedings - IEEE Symposium on Security and Privacypaacuteginas 523-537 2012 ISSN 10816011 DOI 101109SP201238 (veacutease paacutegina 46)

[12] S Komanduri R Shay P G Kelley M L Mazurek L Bauer N Christin L F Cranor y SEgelman ldquoOf passwords and people measuring the effect of password-composition policiesrdquoProceedings of the 2011 annual conference on Human factors in computing systems - CHIrsquo11 paacutegina 2595 2011 ISSN 00010782 DOI 10114519789421979321 direccioacuten httpwwwececmuedu7B~7Dlbauerpapers2011chi2011-passwordspdf (veacuteasepaacutegina 46)

[13] S Lee y S Zhai ldquoThe performance of touch screen soft buttonsrdquo Methodology paacuteginas 309-3182009 DOI 10114515187011518750 (veacutease paacutegina 37)

[14] A Ludwig ldquoAndroid security 2016 year in reviewrdquo informe teacutecnico March 2016 paacutegi-na 71 direccioacuten httpssourceandroidcomsecurityreportsGoogle7B5C_7DAndroid7B5C_7DSecurity7B5C_7D20167B5C_7DReport7B5C_

7DFinalpdf (veacutease paacutegina 41)

[15] M L Mazurek S Komanduri T Vidas L Bauer N Christin L F Cranor P G KelleyR Shay y B Ur ldquoMeasuring password guessability for an entire universityrdquo Proceedingsof the 2013 ACM SIGSAC conference on Computer amp communications security - CCS rsquo13paacuteginas 173-186 2013 ISSN 15437221 DOI 10114525088592516726 direccioacuten httpdlacmorgcitationcfmdoid=25088592516726 (veacutease paacutegina 46)

[16] F Schaub R Deyhle y M Weber ldquoPassword entry usability and shoulder surfing susceptibilityon different smartphone platformsrdquo Proceedings of the 11th International Conference onMobile and Ubiquitous Multimedia - MUM rsquo12 nuacutemero December paacutegina 1 2012 DOI10114524063672406384 direccioacuten httpdlacmorgcitationcfmdoid=24063672406384 (veacutease paacutegina 37)

[17] F Schaub M Walch B Koumlnings y M Weber ldquoExploring the design space of graphicalpasswords on smartphonesrdquo Proceedings of the Ninth Symposium on Usable Privacy andSecurity - SOUPS rsquo13 paacutegina 1 2013 DOI 10114525016042501615 direccioacuten httpdlacmorgcitationcfmdoid=25016042501615 (veacutease paacutegina 37)

[18] R Shay L F Cranor S Komanduri A L Durity P ( Huh M L Mazurek S M Segreti B UrL Bauer y N Christin ldquoCan long passwords be secure and usablerdquo Proceedings of the 32ndannual ACM conference on Human factors in computing systems - CHI rsquo14 paacuteginas 2927-29362014 DOI 10114525562882557377 direccioacuten httpdlacmorgcitationcfmdoid=25562882557377 (veacutease paacuteginas 46 47)

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias
Page 56: Subsecretaría de Defensa · frente a las redes, que hoy se expresa en la ocurrencia, cada vez más frecuente, de incidentes y ataques informáticos. Esto nos obliga a mejorar las

[19] R Shay P G Kelley S Komanduri M L Mazurek B Ur T Vidas L Bauer N Christin y L FCranor ldquoCorrect horse battery staple exploring the usability of system-assigned passphrasesrdquopaacuteginas 1-20 2012 DOI 10114523353562335366 direccioacuten httpdlacmorgcitationcfmdoid=23353562335366 (veacutease paacutegina 46)

[20] T J Smoker C E Murphy y A K Rockwell ldquoComparing memory for handwriting versustypingrdquo Proceedings of the Human Factors and Ergonomics Society 53rd Annual Meetingvolumen 1979 nuacutemero February 1979 paacuteginas 1744-1747 2009 (veacutease paacutegina 48)

[21] D Tapellini Smart phone thefts rose to 31 million in 2013 2014 direccioacuten httpswwwconsumerreportsorgcronews201404smart-phone-thefts-rose-to-3-1-

million-last-yearindexhtm (visitado 05-09-2017) (veacutease paacutegina 36)

[22] B Ur F Noma J Bees S M Segreti R Shay L Bauer N Christin y L F Cranor ldquolsquolsquoiadded lsquorsquo at the end to make it securerdquo observing password creation in the labrdquo en Proceedingsof the eleventh Symposium On Usable Privacy and Security 2015 paacuteginas 123-140 ISBN978-1-931971-249 (veacutease paacutegina 34)

El equipo de informaacutetica de la Subsecretariacutea de Defensa estaacute integrado por (en orden alfabeacutetico)Sebastiaacuten Araya Encargado de Redes y Datacenter Alejandro Hernaacutendez Encargado de SoporteComputacional Rodrigo Meacutendez Encargado de Desarrollo y Explotacioacuten de Sistemas y CarlosMontoya Jefe de Informaacutetica Nuestros agradecimientos al Sr Marcos Robledo Hoecker Subsecretariode Defensa al Sr Daniel Aacutelvarez Asesor en Ciberseguridad y Ciberdefensa y al Sr Eugenio Cruz Jefede la Unidad de Coordinacioacuten Administrativa El Manual de Seguridad Digital fue escrito y compiladopor Cristian Bravo Lillo PhD Asesor en Ciberseguridad y Ciberdefensa

  • Parte I mdash Poliacuteticas de Seguridad Digital
    • 1 Definiciones y marco de aplicacioacuten
      • 11 Propoacutesito y contenido
      • 12 Resumen de poliacuteticas de seguridad digital
      • 13 Convenciones
      • 14 Recursos digitales institucionales
      • 15 Revisioacuten y aprobacioacuten de la poliacutetica de seguridad
      • 16 Cumplimiento
      • 17 Glosario
        • 2 Uso aceptable de equipos electroacutenicos
          • 21 Descripcioacuten
          • 22 Objetivo
          • 23 Alcance
          • 24 Normas
            • 3 Uso aceptable de correo electroacutenico y redes
              • 31 Descripcioacuten
              • 32 Objetivo
              • 33 Alcance
              • 34 Normas
                • 4 Uso de passwords
                  • 41 Descripcioacuten
                  • 42 Objetivo
                  • 43 Alcance
                  • 44 Normas
                    • 5 Respuesta a incidentes de seguridad digital
                      • 51 Descripcioacuten
                      • 52 Objetivo
                      • 53 Alcance
                      • 54 Normas
                          • Parte II mdash Guiacuteas de Seguridad Digital
                            • 6 Guiacutea de Higiene Digital
                              • 61 Introduccioacuten
                              • 62 Higiene digital personal
                              • 63 Higiene con dispositivos digitales
                              • 64 Higiene en redes digitales
                                • 7 Guiacutea de creacioacuten de passwords
                                  • 71 Introduccioacuten
                                  • 72 Meacutetodo 1 Usa passphrases
                                  • 73 Meacutetodo 2 Usa un administrador de passwords
                                  • 74 Meacutetodo 3 Usa una tarjeta de passwords
                                  • 75 Tipos de ataques
                                    • Referencias