El documento proporciona recomendaciones para configurar un sistema operativo de manera segura, incluyendo verificar el estado del firewall, configurar actualizaciones automáticas, habilitar protección antivirus, usar una cuenta de usuario con permisos limitados, deshabilitar servicios innecesarios, proteger recursos compartidos con contraseñas, y establecer una política de contraseñas seguras. El objetivo es minimizar la vulnerabilidad del sistema y prevenir infecciones de malware.
3. Introducción
• En la actualidad existe una gran diversidad de
sistemas operativos; entre todos ellos es posible
mencionar a Windows (en sus versiones Windows
XP, Windows Vista o Windows 7), Mac OS X (el
sistema operativo de Apple) o algunas de las tantas
distribuciones de Linux (Ubuntu, Fedora, Gentoo,
etc.). Tal diversidad lleva a un sinfín de opciones
posibles a considerar en cuanto a la configuración
del equipo. Windows XP sigue siendo el sistema
operativo más utilizado, por lo que será la base del
documento al presentar las configuraciones
recomendadas, haciendo también mención al más
reciente Windows 7. De todas formas, cada uno de
los conceptos expuestos a lo largo del módulo
puede ser aplicado en diversos sistemas operativos,
según la necesidad del usuario.
4. Instalación y configuración del sistema operativo
• En el presente módulo se indicarán las principales pautas para realizar una configuración del equipo a fin de
aumentar la seguridad del mismo y hacerlo menos vulnerable de lo que es en su instalación por defecto.
Principalmente, se revisará el estado de los siguientes tópicos:
• 1. Verificar la inicialización del firewall, corroborando el estado de los puertos y servicios que utilizan las
comunicaciones de red.
• 2. Configurar correctamente las actualizaciones del sistema operativo, para mantener el mismo al día respecto
de los nuevos parches de seguridad que se van publicando.
• 3. Habilitar la protección antivirus y verificar que se encuentre activa.
• 4. Analizar las características de la cuenta de usuario y entender en qué momentos conviene utilizar una con
permisos administrativos y cuándo no.
• 5. Revisar los servicios activos en el ordenador, deshabilitando aquellos que presenten un riesgo para el
usuario o que consuman recursos innecesarios.
• 6. Comprender el concepto de recursos compartidos y realizar la correcta verificación de los mismos.
Asegurarlos mediante el uso de contraseñas.
• Luego de la correcta configuración del equipo, al ingresar al Centro de Amenazas de Windows se debería de
observar una similar a la siguiente (que indica que el estado de seguridad
del sistema operativo es óptimo):
5. Configuración del firewall
• En una instalación por defecto de Windows XP el firewall
viene habilitado; en caso de que no lo esté se recomienda
hacerlo. Para activar el Firewall de Windows, o corroborar
su estado, es necesario ir a “Inicio - Panel de Control”. Una
vez allí haciendo doble clic sobre el ícono del Firewall, se
podrán observar las opciones disponibles como así
también realizar la configuración de excepciones a los
programas que el usuario desee o bloquear puertos que
no vayan a ser utilizados. En cada sistema existen 65536
puertos disponibles, y es una buena práctica de seguridad
bloquear aquellos puertos que se sabe que no van a
utilizarse.
• Siempre es recomendable el uso de un firewall para evitar
que una persona o un código malicioso puedan conectarse
al sistema remotamente.
6. Actualizaciones automáticas
• Las actualizaciones mantienen al equipo al resguardo de un
ataque que emplee alguna de las vulnerabilidades descubiertas
en el software instalado. En lo que respecta a las
actualizaciones de seguridad de Windows, estas se realizan
desde Windows Update, que permite al usuario seleccionar la
manera en la que desea recibirlas. Es posible seleccionar entre
cuatro opciones disponibles:
• Siempre es recomendable mantener el sistema al día, y tener
conciencia de la importancia de las actualizaciones, que
minimizan la exposición ante las amenazas. Ningún sistema es
100% seguro pero cuando se instalan los parches provistos por
los fabricantes se puede aminorar el riesgo; y ello no solo hace
referencia al sistema operativo sino que también se deben
actualizar las aplicaciones de terceros instaladas en él.
7. Habilitar la protección antivirus
• Más allá de las opciones de configuración que se
apliquen al sistema operativo contar con una
solución antivirus proactiva, como ESET NOD32
Antivirus, es la principal barrera de defensa ante
el malware existente, y por ello es que es
recomendable su uso, configuración y
actualización.
• Debido a la cantidad de malware nuevo que
aparece día a día es importante que la solución
antivirus que se instale en el equipo se
encuentre actualizado. La base de firmas puede
ser actualizada de manera diaria o incluso varias
veces al día, pero si además de esta defensa se
cuenta con técnicas proactivas de detección de
malware, la cobertura ante las amenazas
emergentes será mucho más efectiva.
8. Usuario con permisos no-
administrativos• Emplear un usuario con permisos de administrador puede
causar que ante una falla, se infecte el equipo o se realicen
cambios indeseados en el sistema. El “administrador”
debería ser aprovechado solo para tareas de instalación y
mantenimiento (administración) del sistema. Valerse de un
usuario con permisos restringidos es óptimo para evitar la
instalación de malware y las modificaciones no deseadas en
el sistema. Para crear o modificar cuentas, también se debe
acceder al Panel de Control de Windows.
• Se puede configurar más de un tipo de cuenta de usuario
según las necesidades o empleos que se le darán al equipo.
• En versiones más actuales de Microsoft Windows como
Windows 7 o Vista se cuenta con el UAC (User Account
Control, en español Control de Cuentas de Usuario), por lo
que el manejo de permisos asignados a los usuarios difiere
en ciertos puntos de versiones anteriores. El usuario
administrador se encuentra deshabilitado por defecto, y de
esta manera se busca prevenir la ejecución de códigos
maliciosos.
9. Administración de los servicios de
Windows• Existen una gran cantidad de servicios de
Windows que un usuario hogareño
podría no utilizar; es por ello que es una
buena práctica de seguridad
deshabilitarlos.
• El cambio de configuración de los
servicios de Windows es recomendable
hacerlo empleando una cuenta con
permisos de administrador.
• En el listado de servicios que es posible
deshabilitar y que, en la mayoría de los
casos no tendrá un impacto en la
usabilidad del sistema, se encuentran los
siguientes (se recomienda verificar si
alguno de ellos está en uso antes de
proceder a desactivarlo):
• Acceso a dispositivos de interfaz humana
• Ayuda y soporte técnico
• Horario de Windows
• Mensajero
• Notificación de sucesos del sistema
• Portafolios
• Programador de tareas
• Registro remoto
• Servicio de alerta
• Servicio de informe de errores
• Servicio de restauración del sistema
• Servicios de descubrimiento de SSDP
• Servicios de Terminal Server
10. Uso de recursos compartidos
• En una red hogareñapuede suceder que exista más
de un equipo, y que se desee que los mismos
compartan archivos y/o carpetas entre sí. Llegado
este caso es muy recomendable que se limite el
acceso mediante el uso de contraseñas. De esta
manera se puede evitar la reproducción de ciertos
gusanos que se aprovechan de las carpetas
compartidas sin clave para propagarse.
• Un recurso compartido es un archivo o carpeta a la
cual se pueda tener acceso desde otra
computadora, que se encuentre en la misma red o
grupo de trabajo. Dicho acceso puede ser tanto de
solo lectura como también de escritura.
• A modo de ejemplo, un álbum de fotografías que se
quiere compartir con un familiar puede configurarse
como de solo lectura (si se desea que solo se pueda
observar desde otras computadoras) o también con
permisos de escritura (si se desea que otra persona
pueda agregar, eliminar o modificar las fotos).
11. Configuración de otras aplicaciones
• Navegador de Internet
• Cada vez que se navega en Internet se puede
ser víctima de distintos tipos de malware.
Debido a ello es fundamental contar con una
correcta configuración del navegador
utilizado.
• Las opciones existentes hoy en día son varias
y entre las más reconocidas se encuentran
Internet Explorer (el navegador de
Microsoft), Mozila Firefox (que es Open
Source) o Google Chrome.
• Internet Explorer viene instalado por defecto
con Windows XP, pero en la versión 6, la cual
adolece de considerables fallas de
seguridad. Es por ello que es más que
recomendable la actualización a su última
versión.
12. • También se recomienda realizar una
configuración de seguridad sobre el
cliente de correo: revisión de
adjuntos por un antivirus o activación
de filtros antispam, entre otros.
• El cliente de correo predeterminado
de Windows XP es Outlook Express, y
también este debe configurarse de
manera correcta para evitar
“invitados” no deseados.
• Si el usuario no desea utilizar el
cliente de correo predeterminado de
Windows cuenta con otras opciones
tales como Thunderbird (Open
Source) o IncrediMail.
Configuración de otras aplicaciones
• Cliente de correo
13. • En la actualidad el uso de usuario y contraseña es la forma más común de
autentificación ante un sistema. Ello significa que se utilizan claves para asegurar
que una persona es quien dice ser.
• Si otra persona dispone de dicha contraseña puede afirmar ser quien no es, lo que
comúnmente se conoce como suplantación de identidad y posibilita variados tipos
de ataques, a cualquier sistema que utilice sólo contraseñas como medio de
autenticación.
• Es importante contar con una contraseña segura y fuerte para evitar que la misma
sea vulnerada. No es recomendable utilizar una palabra conocida; esto se debe a
que los atacantes pueden realizar ataques de diccionario, en los cuales utilizando
un archivos con miles de palabras posibles en cualquier idioma y combinaciones
de las mismas se intenta vulnerar la clave del usuario.
Configuración de otras aplicaciones
• Manejo de claves
14. • Creación de una clave
Manejo de Claves
Se debe tener en cuenta los siguientes consejos para crear una
contraseña segura.
• No utilizar contraseñas que sean palabras
de uso corriente (aunque sean extranjeras), o nombres (el del
usuario, personajes de ficción, miembros de la familia, mascotas,
marcas, ciudades, lugares, u otro relacionado).
• No usar contraseñas completamente numéricas con algún
significado relacionado con el usuario (teléfono, D.N.I., fecha de
nacimiento, patente del automóvil, etc.).
• Elegir una contraseña que mezcle caracteres alfabéticos
(mayúsculas y minúsculas) y numéricos.
• Utilizar claves de entre 6 y 8 caracteres de longitud (como mínimo).
• Emplear contraseñas diferentes en máquinas diferentes. Es posible
usar una contraseña base y ciertas variaciones lógicas de la misma
para distintos equipos.
• Utilizar contraseñas fáciles de recordar, para no verse obligado a
escribirlas, y difíciles de descifrar. Algunos ejemplos son:
o Combinar palabras cortas con algún número o
carácter de puntuación: ►soy2_yo3
o Usar un acrónimo de alguna frase fácil de recordar:
A río Revuelto Ganancia de Pescadores ► ArRGdP
o Añadir un número al acrónimo para mayor
seguridad: ►A9r7R5G3d1P
o Mejor incluso, si la frase no es conocida: Nunca
Olvidé Mi Contraseña ►NuOlMiCo
o Elegir una palabra sin sentido, aunque pronunciable:
►taChunda72, AtajulH, Wen2Mar
o Realizar reemplazos de letras por signos o números:
Seguridad ►53gur1d4d
15. • Protección de la clave
Manejo de Claves
• La responsabilidad por la protección de la
contraseña recae tanto sobre el
administrador del sistema como sobre el
usuario. Al comprometerse una cuenta de
usuario, se puede estar comprometiendo
todo el sistema.
• La siguiente frase difundida en
UseNet5resume algunas de las reglas
básicas de uso de la contraseña: “Un
password debe ser como un cepillo de
dientes. Úsalo cada día; cámbialo
regularmente; y NO lo compartas con tus
amigos”.
• Algunos consejos a seguir en cuanto al
correcto uso de contraseñas:
• No permitir que se abra una cuenta sin emplear una clave de seguridad. Si se es
administrador del sistema, repasar esta política periódicamente.
• Modificar los valores por defecto asignados a las cuentas del sistema. Por
ejemplo, cambiar los de Root, System, Test, Demo, Guest, etc.
• Nunca compartir con alguien la contraseña. Si se hace, cambiarla
inmediatamente.
• No escribirla en algún sitio. Si se escribe, no debe identificarse como tal y
tampoco mencionar al propietario en el mismo lugar.
• No ingresarla si hay alguien mirando. Es una norma tácita de buen usuario no
mirar el teclado mientras alguien teclea su contraseña.
• No enviar la clave por correo electrónico, ni mencionarla en una conversación.
Si es necesario referirse a ella, no hacerlo explícitamente diciendo: “mi clave
es...”.
• No se deben mantener indefinidamente, sino cambiarlas regularmente. Hay
que disponer de una lista de contraseñas que puedan usarse cíclicamente.
• Evitar la utilización de la misma contraseña sobre múltiples sistemas ya que si la
misma es comprometida, entonces todos los equipos que la utilicen también lo
serán.
16. Conclusión
• La instalación de cualquier sistema operativo conlleva a realizar una seria
de pasos para poder incrementar su seguridad. Saber cómo personalizar
la configuración de seguridad del sistema operativo utilizado, no sólo
permite al usuario conocer cuáles son las barreras de protección con las
que cuenta, sino que incrementa considerablemente la seguridad del
sistema operativo.
• Toda configuración del sistema es importante, y hasta el más mínimo
detalle pasado por alto puede dejar abierta una brecha en la seguridad,
llegando así a comprometer el sistema. Es por ello que es necesario
repasar no solo la configuración del sistema operativo, sino también la de
todas las aplicaciones instaladas en él.
• De esta manera se hará un mejor uso del sistema operativo, y se estará
protegido de la manera más eficiente posible.
17. • Realizado por: Jesús Daniel Mayo
• Con la Colaboración de: Academia ESET Latinoamérica