 Para acceder a nuestros servicios en línea favoritos necesitamos pasar una verificación de identidad que normalmente se basa en un usuario y una contraseña, de esta manera se certifica que somos la persona que decimos ser y no un impostor. Este sistema de identificación en “algo que conocemos” que es un usuario y una contraseña, la desventaja de este sistema es la capacidad humana de crear y retener todos los usuarios y contraseñas para los diferentes servicios al final se termina repitiendo las mismas credenciales en todos los portales, lo que genera una vulnerabilidad. La incorporación de doble o múltiples factores de autenticación son una solución para este tipo de problemas donde pasamos de “algo que conocemos” a “algo que tenemos” como una llave USB, un token digital o nuestra huella dactilar. ¿Qué es la autenticación de doble o múltiple factor? Como lo indica el nombre el doble o múltiple factor de autenticación es una alternativa complementaria al estándar de usuario y contraseña para identificar al usuario, lo cual genera una capa extra de seguridad y elimina el factor de tener que recordar todas las contraseñas. Este complemento se asegura que el usuario no solo conoce la contraseña para acceder al servicio, sino que además es quien dice ser aportando en el proceso de inicio de sesión, un código, por ejemplo, sobre algo que solo él usuario posee, dicha información puede obtenerse de varias formas
Las llamadas o mensajes de texto con un código temporal generado por el servicio es una de las primeras formas de autenticación con la limitación en muchos casos de enfocarse en una zona geográfica, el uso de un token virtual se ha hecho cada vez más común y ha demostrado ser una solución bastante efectiva, hay aplicaciones de autenticación hechas para esta tarea en especifico como Google Autheticator y Authy, las cuales mediante un código QR que genera el servicio de autenticación puedes generar los token temporales que se renuevan automáticamente cada 30 segundos, los dispositivos biométricos son usados en servicios más críticos como lectores de huellas, lectores de oculares y faciales, estos están diseñados para realizar la verificación de manera presencial y son usados normalmente en servicios bancarios y de salud, aunque con la nueva integración de lectores de huellas en los teléfonos inteligentes son aprovechados cada vez más por todo tipo de aplicaciones. En los procesos de doble verificación, el primer factor suele ser una contraseña que conocemos y que hemos creado nosotros, mientras que el segundo factor suele ser un código aleatorio generado por un “token” de autenticación, por un dispositivo externo, por una app instalada en nuestro smartphone o equipo, o por verificación biométrica. El procedimiento es muy sencillo:
 Todos los servicios importantes en línea ofrecen múltiples factores de autenticidad que agrega capas extra de seguridad y nos permiten estar más seguros.
Si te gusto este post, comparte la información con quien más lo necesite.
1 Comentario
Hoy hablaremos de las brechas de seguridad, cómo puede afectar el mundo digital, como saber si has sido expuesto y que hacer para protegerte. Todos utilizamos cuentas de correo de proveedores como Google, Apple y Microsoft entre otras, en las cuales almacenamos una cantidad de información importante y muchas veces sin saber. Estas cuentas están asociadas a nuestros dispositivos personales como smartphone, relojes inteligentes y cualquier dispositivo que podamos enlazar una cuenta de correo y a su vez conectamos con múltiples servicios, redes sociales y cualquier aplicación en nuestros dispositivos, de esta manera tú información va expandiéndose a través de esta red que tú mismo armas. Al final creas un ecosistema donde todo está conectado y es muy conveniente para ti, porque facilita las acciones de tu día a día a un punto donde empiezas a depender de este ecosistema. Seguramente alguna vez has olvidado la contraseña de algún sitio web que usas esporádicamente y recurres al explorador que guarda las contraseñas por ti o un servicio que usas con frecuencia como Instagram el cual se te ha olvidado la contraseña porque nunca cierras sesión y necesitas hacer log in en otro equipo, entonces recurres al correo que tienes asociado a la cuenta, posiblemente un correo de Google y así tienes todos tus servicios, redes sociales y más conectados unos a otros de alguna forma. ¿Pero qué pasa cuando uno de estos sitios es atacado por alguna vulnerabilidad y logran robar información como usuarios y contraseñas? Supongamos que existe una vulnerabilidad en una red social como LinkedIn que utiliza millones de profesionales alrededor del mundo, que tienen una basta información personal de los usuarios como correo, contraseñas, teléfonos, direcciones, trabajos y más. ¿Qué pueden hacer con esa información? Con esa información los ciberdelincuentes pueden hacer muchas cosas como estafas haciéndose pasar por entidades de confianza como un banco o algo por el estilo, pueden robar tu identidad y utilizarla para actos ilícitos o podrían tratar de tomar control de tu cuenta personal y de todo tu ecosistema. En los últimos años se ha popularizado un correo electrónico de estafa (Phishing) en el cual te envían un correo que dice “Conozco tu contraseña y es…” y te mencionan una contraseña que ciertamente es tuya, la has usado en algún sitio, puede ser que se antigua pero aun así es una contraseña legitima que has usado, en dicho correo te mencionan cosas como “Me he infiltrado en una página porno que visitaste a la cual he conseguido hackear tu equipo, tome fotos con tu cámara web y la tengo en mi poder” y tratan de amenazar, piden un pago para que destruyan la información seguramente a través de Bitcoin para que sea anónimo. Esto no es más que un correo malicioso que utiliza la información obtenida de esas brechas de seguridad para tratar de estafar a las personas. Estas brechas de seguridad no son comunes, ¿Cierto? Lamentablemente son más comunes de lo que crees, acá te dejo el link de una pagina web que recopila las brechas de seguridad de la última década, qué información fue expuesta y toda la información que necesites. https://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/  Seguramente te vas a sorprender la magnitud de las brechas de seguridad y que tan delicada ha sido la información que se ha hackeado. También tienen un segmento de las contraseñas mas utilizadas, si la tuya esta aquí, cámbiala de inmediato https://informationisbeautiful.net/visualizations/top-500-passwords-visualized/s  ¿Cómo se si mi cuenta ha sido expuesta? Existen páginas web de consulta en la que puedes comprobar si tu cuenta en algún momento ha sido expuesta, por cual servicio, en que año y que información. Lamentablemente los servicios que son vulnerados no informan a sus usuarios de brechas de seguridad, por lo tanto, pueden pasar muchos años antes de que te enteres de que tus datos han sido hackeados y que eres vulnerable. https://haveibeenpwned.com/ es una pagina que recopila estas brechas de seguridad y puedes consultar si tu correo ha sido expuesto de una forma u otra y que información ha sido tomada.  ¿Qué hacer en estos casos?
Si tu cuenta ha sido expuesta, te recomiendo que cambies la contraseña de tu correo al menos 8 dígitos con números, letras y caracteres especiales, no utilices fechas ni nombres que se puedan asociar a ti, de esa manera será una contraseña más segura, activa el segundo factor de autenticación en tu cuenta de correo y en todos tus servicios, el segundo factor o 2FA es un método de validación el cual implica tu contraseña habitual más una contraseña temporal que emite la entidad a la cual quieres acceder y te la hace llegar por un mensaje de texto, una llamada telefónica, una aplicación que genera un token como Google Authenticator y Authy entre otras, esto genera una segunda capa de seguridad. También te invito a que revises los ajustes de seguridad de tu cuenta y seguro encontrarás algunas cosas bastante curiosa, por ejemplo en Google tiene un apartado de seguridad en el cual puedes revisar si tienes alguna vulnerabilidad, los métodos por los cuales puedes iniciar sesión, como verificar tu identidad, los medios de recuperación de contraseña, los dispositivos asociados a tu cuenta y las aplicaciones que tienen acceso a tu información, incluso puedes revisar todas las contraseñas que has guardado en Chrome, si han sido expuestas o si están duplicadas. Recuerda que tú eres el que administra estas configuraciones. Si has sido víctima de alguna estafa o hackeo de redes sociales te aliento a que tomes estas medidas de seguridad y las pongas en práctica. Esto es todo por este post si tienes dudas o algún comentario siéntete libre de hacérmelo llegar en la sección de comentarios acá abajo, comparte si te fue útil y recuerda que la información es de todos.  Jitsi es un proyecto open source para videoconferencias, una alternativa a Zoom más segura, más flexible y totalmente gratis, no necesitas colocar un correo, ni suscribirte a ningún plan de pago, puedes compartir tu pantalla, tener hasta 500 usuarios en una sola sala (la capacidad obviamente depende de los recursos del servidor), si lo deseas puedes conectar tu correo para agendar reuniones es sencillo y funciona sin problemas, tiene aplicativos para Android e IOS. Lo más interesante es que al ser open source, lo puedes alojar en tu propio servidor, en el caso empresarial puede ser muy útil y lo podrías utilizar como tú solución de videollamadas interno si lo colocas en tu LAN sin acceso a internet o lo puedes publicar con el dominio de tu preferencia para uso externo incluso puedes usar Let’s encrypt para obtener un certificado SSL totalmente gratis. Lo puedes usar en su versión en linea en https://meet.jit.si/  Solo debes colocar un nombre cualquiera en la barra que se muestra, este será el nombre de la reunión, el único requisito es que sea único, esto evitará que alguien más tenga acceso a la videoconferencia.  Primero te pedirá los permisos para acceder a la cámara y al micrófono, una vez adentro puedes compartir el link con los integrantes de la reunión para que sea aún más seguro puedes colocarle una contraseña que deberán introducir los integrantes que se unan a la reunión para ser aceptados.  Y eso es todo, sumamente sencillo. LOCALMENTE Si lo deseas alojar en tu servidor localmente, te recomiendo hacerlo en ubuntu con docker compose por lo sencillo que es y la practicidad de docker, yo lo haré de esa manera y así lo voy a explicar acá. 1.Instala docker y docker compose Lo hacemos con una sola línea de comando apt-get install docker.io docker-compose -y 2.Clonamos el repositorio oficial de jitsi Para esto necesitaremos git con el siguiente comando git clone https://github.com/jitsi/docker-jitsi-meet.git && cd docker-jitsi-meet 3.Copiar y modificar archivo de configuración Revisamos el directorio y conseguimos un archivo de nombre example, lo copiamos y lo pegamos en el mismo directorio pero con una extensión .env para poder modificarlo. cp env.example .env Una vez copiado, lo abrimos con nano o vim vim .env 4.Modificar parámetros En este archivo de configuración vamos a modificar todos los parámetros que necesitamos como el puerto que vamos a utilizar, dependerá de si el servidor está detrás o no de un firewall o algun proxy, también modificare la zona horaria, usare un dominio (previamente configurado en mi DNS) y voy a habilitar el certificado SSL con let’s encrypt.  guardamos los cambios y listo. 5.Iniciar contenedor Una vez que tengamos todas las modificaciones hechas podemos iniciar los contenedores con: docker-compose up -d Una vez iniciados los contenedores podrás abrir cualquier explorador y colocar el dominio que configuraste, en mi caso es www.meets.fabianescalona.com Podrás notar que la página de inicio contiene los logos de jitsi y tiene un estilo predeterminado, pero al ser open source puedes modificar todo esto, solo necesitas dirigirte al directorio .jitsi-meet-cfg/web/interface_config.js nano .jitsi-meet-cfg/web/interface_config.js
 Brave es un navegador gratuito que se enfoca en la privacidad bloqueando publicidad y rastreadores, también mejora las conexiones HTTP pasándolas a HTTPS de manera automática, tiene características únicas que vale la pena probar. Personalmente he usado este buscador en las ultimas semanas y ha funcionado muy bien.  Puedes personalizarlo a tu manera, unas de las cosas que más me gusta es el contador de anuncios y rastreadores bloqueados, al igual que la mejoras HTTPS que ha hecho y los minutos que te ha ahorrado.  Usa Chrome por debajo de una capa personalizada, por lo tanto, la experiencia con otros buscadores es muy similar, siempre te va a mostrar en un pequeño escudo lo que esta bloqueando y si tu quieres puede desbloquearlo. Adicionalmente puede abrir TOR como una ventana privada sin ninguna herramienta extra, puede ser un poco lento, pero es normal por el tipo de conexión que usa TOR.  Brave te deja bloquear ads directo en el buscador, pero si quieres algo que funcione en toda tu red te recomiendo Pi-Hole, si quieres saber más de ese proyecto solo haz click aquí.
En resumen, Brave es un excelente buscador que tiene incorporado muchas herramientas que sin duda te ayudaran en el día a día. Si te gusto este post por favor compártelo. Pi-hole es un proyecto Open Source y básicamente es un servidor DNS que contiene una serie de listas dinámicas de dominios marcados como publicitarios, pero puede bloquear cualquier tipo de contenido que tú desees, denegando todo tráfico a esas direcciones, tiene una interfaz web super amigable y realmente es muy sencillo de instalar. Pi-hole puede ser instalado en cualquier distribución de Linux, en máquinas virtuales, dockers e incluso en un Rasperry Pi (es un proyecto divertido hacerlo en un Rasperry Pi con dockers). En mi caso utilizare una máquina virtual con Ubuntu 20.04LTS y me conectare vía SSH desde un equipo con Windows, utilizare Putty para esto, una herramienta gratuita y muy eficaz, si quieres conocer un poco mas de SSH y las mejores prácticas haz click aqui. Instalare Pi hole en Dockers y utilizaremos el repositorio oficial de Pi Hole. PARTE 1 - CONECTATE AL EQUIPO Primero conéctate a la consola del equipo con un usuario con permisos de root. Yo voy a usar el mismo servidor que utilice en el post de SSH y mejores prácticas.  PARTE 2 - DESHABILITA EL DNS DE LINUX Por defecto Linux trae un servidor DNS interno que puede interferir con las operaciones de Pi-hole, lo vamos a deshabilitar con dos simples comandos. y luego editaremos el archivo DNS. sudo systemctl stop system-resolved.service Luego vamos a editar el archivo DNS que está en la siguiente ruta /etc/resolv.conf, lo puedes hacer con el editor de tu preferencia, yo prefiero nano. sudo nano /etc/resolv.conf  Como pueden ver el servidor se apunta así mismo, cambiamos esa IP por el servicio de DNS de su preferencia, yo en mi caso usare Cloudflare.  Presionamos CTRL X para salir, luego Y para guardar y ENTER PARTE 3 - ACTUALIZA EL SERVIDOR Actualiza el servidor antes de cualquier instalación para tener todos los paquetes actualizados. Una vez actualizado podemos seguir al siguiente paso. sudo apt update PARTE 4 - INSTALAR DOCKER Instalar Docker es muy sencillo solo necesitas un comando, utilizo -y para que acepte cualquier pregunta que aparezca en la instalación. sudo apt install docker.io -y PARTE 5 - INSTALAR PI-HOLE Con docker hay dos maneras esenciales de instalar Pi-hole, ya sea con Docker compose o un docker run script, yo lo haré con la segunda opción. Tomaré el script oficial de Pi-Hole que lo puedes conseguir en su página o pulsando aquí, de todos modos acá te dejo el script completo.
Debes editar la línea que he marcado por tu zona horaria, luego de haber copiado el script lo vamos a pegar en un nuevo archivo que vamos a crear él cual se llamará pihole.sh nano pihole.sh Una vez copiada la información presionamos CTRL X para salir, luego Y para guardar y ENTER, ahora debemos darle atributos de ejecución al archivo y ejecutarlo de la siguiente manera: sudo chmod u+x pihole.sh Por defecto Pi-hole crea una contraseña al azar, pero para colocar una nuestra modificaremos ese parámetro, primero entramos al docker que está corriendo de la siguiente manera sudo docker exec -it pihole bash una vez dentro del contenedor ejecutamos el siguiente comando para restablecer la contraseña sudo pihole -a -p Te pedirá una nueva contraseña, la colocas dos veces y estarás todo listo. PARTE 6 - INGRESA A PI-HOLE Abre cualquier explorador y coloca la dirección IP del servidor/ admin, en mi caso es 192.168.1.91/admin  Primero debes iniciar sesión como administrador con la contraseña que colocamos anteriormente, luego te aparecerá en el panel izquierdo una cantidad bastante variada de opciones con la que puedes jugar y hacerlo más personalizado, con las opciones por defecto va a trabajar muy bien, pero puedes incluir palabras claves en Blacklist para bloquear todo el contenido que contenga esa palabra o desbloquear este contenido en una Whitelist. La página principal es tu Dashboard donde está en resumen y tiempo real tus estadísticas de conexión.  Puedes observar la cantidad de dominios bloqueados y el porcentaje de tráfico bloqueado en tu red, puedes observar que son valores super altos. PARTE 7 - MODIFICA TU RED PARA UTILIZAR PI-HOLE Para que empieces a utilizar Pi-hole como tu servidor DNS debes cambiar la configuración de tu DHCP, usualmente en una red de casa este trabajo lo hace el router suministrado por el proveedor de servicio. En mi caso mi proveedor es Movistar y el router que tengo tiene la dirección 192.168.1.1, para verificar esta información debes abrir un terminal, si usas Windows solo escribe en la lupa CMD y te aparecerá un icono como el siguiente.  Abre el programa y escribe el siguiente comando ipconfig Luego identifica tu adaptador de red, en mi caso estoy conectado vía Wi-Fi verifica que la dirección IP del Gateway y el servidor DHCP sea la misma, eso significa que tu router tiene el rol de DHCP en tu red.  Coloca esta dirección en cualquier explorador, te pedirá algún tipo de credenciales que por lo general está en la parte posterior del router.  Ahora nos dirigimos a la sección de red local y modificamos el parámetro de DNS a la dirección de nuestro nuevo servidor Pi-Hole  Listo, ahora todos los dispositivos conectados a tu red estarán libres de publicidad.
Si te gusto este post, coméntalo y compártelo con quien tu creas que le pueda ser útil. En este post mostrare como conectarse a un servidor nuevo vía ssh con las mejores prácticas. Parte 1 - Ten todos tus datos a la mano Lo primero es tener los datos que vas a utilizar a la mano, como dirección IP del equipo, usuario, contraseña (que introdujiste al instalar el servidor) y el cliente SSH que utilizaras. En este caso voy a utilizar Putty como mi cliente para la conexión, me gusta este programa porque permite guardar sesiones y private-key. Para utilizar la llave privada de SSH necesitaremos convertir el archivo en formato ppk y para eso necesitaremos también el programa Puttygen que lo conseguiremos en la misma página de Putty. Parte 2 – Inicia sesión Abre el programa Putty y coloca la IP del dispositivo o el nombre del Server y haz click en“open”.  Se va a abrir una ventana preguntando sobre si aceptas el nuevo Host, acepta el menaje y te aparecerá un terminal preguntando por usuario y contraseña, introduce los datos y ya estarás adentro del equipo. Lo primero que vas a querer hacer es cambiar la clave del root passwd root Te pedirá que coloques la contraseña dos veces, asegúrate de usar una contraseña fuerte que puedas recordar, de todos modos, vamos a deshabilitar el usuario root para iniciar sesión más adelante, pero debemos saber la contraseña para comandos sudo. Parte 3 – Crea un nuevo usuario Te recomiendo que crees un nuevo usuario para conexiones SSH y que este sea el único que pueda conectarse al equipo por esta vía. Todas las maquinas Linux tienen como usuario por defecto al root y una de las primeras líneas de defensas es crear un usuario para conexiones remotas y darle los mismos privilegios y luego deshabilitar al root para iniciar sesión vía remota. Para crear un nuevo usuario solo debes usar el siguiente comando adduser seguido del nombre del usuario, en mi caso será sshescalona. adduser sshescalona Este comando te pedirá que crees una contraseña para el nuevo usuario y algunos datos adicionales del usuario si lo deseas. Ahora debes darle el privilegio del sudo. usermod -aG sudo sshescalona Ahora este nuevo usuario podrá ejecutar comandos sudo como administrador. Parte 4 – Crear claves privadas Ahora creemos nuestro par de claves pública y privada. La clave pública vive en el servidor, y la clave privada se usará para desbloquear el acceso desde cualquier dispositivo que lo necesite. ssh-keygen Cuando se le pregunte dónde colocar el archivo, tome el valor predeterminado. Puede elegir si desea ingresar o no una frase de contraseña: tener una frase de contraseña significa que necesita tanto la clave privada como la frase de contraseña para obtener acceso. Proporciona una capa adicional de seguridad. Una vez que se hayan creado sus claves, las encontrará en /home/root/.ssh: debe haber archivos id_rsa (clave privada) e id_rsa.pub (clave pública) en ese directorio. A continuación, debemos copiar esa clave en la cuenta del usuario recién creado: | ssh-copy-id sshescalona@[ip del servidor] Elija "Yes" cuando se le pregunte si desea continuar e ingrese la contraseña de sshescalona cuando se le solicite. Este comando copiará la clave pública al directorio ~ / .ssh del usuario de sshescalona como un archivo de claves autorizadas. Ahora puede usar la clave privada para autenticarse con este servidor como usuario sshescalona. Parte 5 – Modificar configuración de SSH El siguiente paso es modificar la configuración de SSH para desactivar el acceso de usuario root y la autenticación de contraseña. Comience editando el archivo de configuración SSH: nano -w /etc/ssh/sshd_config Comienza cambiando el Puerto por defecto de SSH de 22 a cualquiera que no sea estándar, consigue la línea que dice #port 22 Y cámbiala a Port [Puerto diferente] Puedes cambiarlo a cualquier número de puerto como por ejemplo 2222, ahora baja un poco y consigue la línea que dice: PermitRootLogin yes Cambia el “Yes” a “No” esto deshabilitar al root para iniciar sesión con ssh, ahora baja un poco mas y busca la siguiente línea #PasswordAuthentication yes Remueve el # y cambia el “yes” a “no” esto desactiva la autenticación por contraseña (La autenticación por llave privada debería estar habilitada, lo puedes verificar buscando la línea PubkeyAuthentication y verifica que este en “yes”) Presiona CTRL+X seguido de “Y” y enter para guardar y salir. Reinicia el servicio systemctl reload sshd PARTE 6 - Descarga la llave privada Ahora necesitamos descargar nuestra llave privada, primero veamos lo que aparece en nuestro documento id_rsa cat ~/.ssh/id_rsa Selecciona y copia todo el texto y pegalo en un nuevo block de notas y guarda el archivo en un lugar seguro, una vez guardado el archivo puedes eliminarlo del servidor con el siguiente comando rm ~/.ssh/id_rsa PARTE 7 - Convierte la llave privada a formato PuTTY Antes de que pueda usar su clave privada con PuTTY, debe convertirla al formato .PPK. Para hacer esto, utilizaremos otro programa gratuito de los creadores de PuTTY llamado PuTTYgen (puede descargarlo desde el mismo enlace que PuTTY arriba). Primero, ejecute PuTTYgen y haga clic en el botón "Cargar". Busque el archivo de clave privada que guardó en el paso 6. Cuando busque su clave privada, cambie el tipo de archivo que está buscando de 'Archivos de clave privada PuTTY (* .ppk)' a 'Todos los archivos (*. *). 'Abra su archivo de clave privada, y debería recibir un aviso de que la clave privada se importó correctamente. Haga clic en Aceptar para salir de esta notificación. Ahora, haga clic en el botón "Guardar clave privada" y guarde su clave privada como un archivo .ppk (generalmente solo uso el mismo directorio que usé para guardar la clave privada original). Ahora puede cerrar PuTTYgen.  PARTE 8 - Inicia sesión con el nuevo usuario Inicia una nueva sesión de PuTTY, en la nueva sesión colocas la IP del servidor y el puerto a numero que cambiaste en el paso 5  Luego, en el menú de la izquierda, expanda la sección "SSH" debajo de "Conexión", luego haga clic en "Auth." Aquí verá un lugar para buscar su archivo de clave privada PuTTY .PPK. Haga clic en "Examinar ..." y busque el archivo .PPK que creamos en la Parte 7.  Una vez que haya cargado el archivo, vuelva a hacer clic en "Sesión" en la parte superior del menú de la izquierda. Si desea GUARDAR estos detalles de conexión, ahora debe ingresar un nombre descriptivo en el cuadro "Sesiones guardadas" y hacer clic en el botón "Guardar".
Ahora haga clic en "Abrir" y debería recibir un mensaje "Iniciar sesión como:". Ingrese el nombre del usuario que creó en la Parte 3 (en nuestro caso, fue sshescalona) y ahora debe conectarse al servidor. Si tiene una frase de contraseña en su clave privada, también se le solicitará esa frase de contraseña. Ya tenemos una conexión segura ssh desde nuestro equipo con claves privadas ssh y el root deshabilitado, para aumentar la seguridad podemos trabajar un poco con las reglas de Firewall pero eso lo haremos en otro post. |