Juanjo 12 de Agosto de 2007

La revista alemana Computer Bild y Kaspersky Labs se han unido para ofrecer licencias comerciales de los productos de esta compañía de productos antivirus de forma gratuita por un periodo de 3 meses. Sin embargo una vez acabado este plazo se puede volver a solicitar otra licencia, así hasta un año.

De esta forma desde esta página en alemán, aunque es fácil comprender cuales son los datos que hay que introducir en el formulario (solo son necesarios los marcados con asteriscos y en la imagen siguiente están traducidos), se realiza el registro (hay que usar una dirección de correo válida ya que la llave de licencia la envian a dicho correo). Y una vez haya caducado la licencia desde esta otra página se puede pedir la renovación por otros 3 meses simplemente indicando el email usado al registrarse.

Hay que especificar que estas llaves de licencia solo son válidas para productos orientados a uso personal, estos son Kaspersky Anti-Virus (KAV), Kaspersky Internet Security (KIS), y Kaspersky Anti-Virus Mobile (KAVM). El producto escogido también se puede descargar gratis desde la propia página de Kaspersky, aunque esta vez mejor lo hacemos desde la versión española.

Personalmente recomiendo Kaspersky Internet Security (KIS) ya que es una suite que cuenta, además de todo lo que trae Kaspersky Anti-Virus (KAV), con firewall o cortafuegos (módulo anti-hacker) y módulos anti-spy, anti-phising, bloqueador de pop-up y banners, anti-dialers y anti-spam. A no ser que se desee para un dispositivo portátil (PDAs, smartphones, etc.), en ese caso Kaspersky Anti-Virus Mobile (KAVM) es la opción.

Para instalar la llave de licencia, si no se hizo durante la instalación del programa o es una renovación de licencia, hay que ir al menú “Servicios” y hacer click en “Información de licencia”. Con esto se abrirá una ventanita donde podremos agregar una licencia, en nuestro caso seleccionando “Utilizar una llave de licencia existente” e indicando donde se encuentra dicha llave de licencia (lugar del disco duro en el que se haya descomprimido). Todo esto está explicado con más detalle en este otro artículo.

Y una vez cumplido el año simplemente debemos hacer otro registro y volver a empezar a disfrutar de llaves de licencia gratis

Actualización: Parece ser que estas llaves de licencia no funcionan bien con las versiones 7, por lo tanto se recomienda descargar las versiones 6 del producto Kaspersky deseado.

Actualización 03/06/2008: Parece ser que la promoción de las llaves de licencia que nos ofrecia Computer Bild ha finalizado (o al menos por el momento no envian llaves nuevas).

Se puede seguir utilizando el antivirus por un mes más (mientras compramos uno), para ello hay que activar la versión de prueba (se hace igual que instalar una llave de licencia).

Actualización 11/06/2008: Nuevo artículo sobre una promoción de licencias gratuitas para Kaspersky 7.

• Seguridad , Informática , Internet
• Comentarios (116)

Juanjo 25 de Julio de 2007

En el mundo virtual muchas veces nuestra seguridad se basa en una contraseña o password. Es por esto que tenemos que evitar escoger una contraseña que sea fácil de adivinar como pueden ser nombres propios, apellidos, mascotas, direcciones, números de teléfonos, matriculas, número del documento de identidad, fechas de cumpleaños o aniversarios, etc. igualmente tampoco es recomendable usar palabras que se puedan encontrar en un diccionario con el fin de evitar que se descubra mediante ataque de fuerza bruta mediante diccionarios.

Siempre que sea posible hay que usar, además de caracteres alfanuméricos, otros símbolos como signos de puntuación (punto “.”, coma “,”, punto y coma “;”, dos puntos “:”, guión “-”, guión bajo “_”, signo de exclamación “!”, e interrogación “?”, paréntesis “(” y “)”, …) signos matemáticos (suma “+”, resta (igual que el guión), multiplicación “*”, división “/”, porcentaje “%”, igualdad “=”, mayor “>”, menor “<",…), símbolos de monedas (euro "€", dólar "$", libra "£", ), y otros como arroba "@", almohadilla "#", ampersand "&", virgulilla "~",…

Sin embargo podemos crear una contraseña realmente fuerte pero muy difícil de recordar y cometer el error de tenerla apuntada en alguna parte para recordarla. Este es un punto débil muy común, y muy susceptible a ser robada y/o perdida con lo que nuestra seguridad queda completamente comprometida.

Lo ideal es un password fuerte pero a la vez fácil de recordar, pero ¿cómo es posible esto? En watching the net (en inglés) nos muestran una forma de hacer esto. Para ello juegan con la simbología asociada a los caracteres, veamos:

! excitación, emociones fuertes
@ letra o preposición “a”
# número, cifra
$ dinero, valor, letra “s”
% parte de algo
^ arriba, ceja levantada
V abajo
& letra o conjunción “y”, gemelos
( letra “c”, luna
) luna
* soleado, brillante, estrella
+ suma, unión
= balance, igualdad
< menor, más joven
>mayor, más viejo
? desconocimiento, variable, cuestionable
~ agua, viento

Sus ejemplos son los siguientes:

• Nuestra hija mayor nació en 1987, sus iniciales son JML, y es una chica alegre e inteligente (brillante). Un posible password sería: *1ªJ87lm
• Nuestras iniciales son ABO, tenemos un hermano gemelo cuyas iniciales son STO, y las dos ultimas cifras de nuestro número de la Seguridad Social son 58. El posible password sería: Abo58&Sto
• Tenemos 2 hijos, el mayor, cuyas iniciales son MWP, nació en 1981, el segundo, cuyas iniciales son SEP, en 1983. Un posible password es: Mwp81>83Sep

Otros consejos que nos dan en esa página son escribir las letras fonéticamente, usar al menos un número pero no al principio o al final de la contraseña, y practicar la escritura del password para coger soltura y evitar que la descubran cuando la tecleamos.

En unos comentarios de Kriptópolis el usuario enxebree explica otra forma para crear contraseñas fáciles de recordar: usar combinaciones de iniciales de palabras de frases de poemas, libros, canciones, combinadas con el autor, grupo, año en que fueron publicadas,… De esta forma podríamos crear contraseñas a partir del poema inicial de la obra maestra de John Ronald Ruelen Tolkien, “El Señor de los Anillos”, escrita en 1954:

Tres anillos para los Reyes Elfos bajo el cielo.
Siete para los Señores Enanos en casas de piedra.
Nueve para los Hombres Mortales condenados a morir.
Uno para el Señor Oscuro, sobre el trono oscuro
en la Tierra de Mordor donde se extienden las Sombras.
Un Anillo para gobernarlos a todos. Un Anillo para encontrarlos,
un Anillo para atraerlos a todos y atarlos en las tinieblas
en la Tierra de Mordor donde se extienden las Sombras.

siendo un par de posibles contraseñas, usando varios versos, las siguientes:
54-7plSEecdp.9plHMcam.1peSO,setoelTdMdselS.JRRT
54-1Apgat.1Ape,1ApaatyaeltelTdMdselS.JRRT

Quizás puedan parecer demasiado largas, pero ¿quién no se sabe el estribillo de una canción? ¿o una estrofa de un poema?

Existen otras muchas formas de obtener contraseñas fuertes y a su vez fáciles de recordar, tantas como imaginación pongamos en el empeño de crearlas.

• Seguridad , Informática
• Comentarios (0)

Juanjo 21 de Julio de 2007

A raíz del artículo sobre la inseguridad de sistemas como el de la página web www.quienteadmite.com he recibido un comentario con acusaciones e insultos. Debe ser porque no les interesa que se de a conocer la verdad a los usuarios…

A continuación una copia del comentario:

Para QuienTeAdmite.com el término “SEGURIDAD” es una palabra con mayúsculas. Por dicha razón, quienteadmite.com mantiene una estricta política de seguridad acorde con las exigencias actuales para hacer uso de logeadores.

Politica de Privacidad

QuienTeAdmite.com está comprometido con el derecho a la privacidad de todos los usuarios de su sitio de Internet www.quienteadmite.com y con el propósito de mantener confidencial la información que se recopila de usted en nuestro sitio hemos desarrollado la Política de Privacidad que rige la dirección Web www.quienteadmite.com

Para proteger sus datos página quienteadmite.com cuenta con la tecnología más avanzada. Los sistemas que utilizamos son los mismos con los que cuentan los Bancos y Gobiernos de todo el mundo para su protección.
Lo invitamos a leer o imprimir esta página para conocer cómo cuidamos de su seguridad.

1- Encripción de datos

Probablemente habrá notado que la dirección de esta página y de todas las de nuestro Sistema Seguro se puede iniciar con “https://”
Geo Trust Telephone: 678-366-8399 certifica a quienteadmite.com y distintos bancos a nivel mundial.

Esto significa que la página que está consultando tiene una llave que encripta a 128 bits (codificar o esconder) los datos, para que cuando son transmitidos de su computadora a nuestro sitio Web no puedan ser usados en caso de que alguien los intercepte. Cuando está en una zona segura también se muestra un candado en la parte inferior izquierda de su pantalla o una llave (dependiendo del navegador o browser que utilice para ver Internet).

NOTA: Si no se ve el candado en esta ventana haga click en la parte superior en el menú Ver(View) y luego haga click en la opción Barra de Estado(Status Bar)

Cuando quiere tener la certeza de que un sitio es seguro, no basta con que aparezca https en la dirección y el candado, es necesario que también el certificado sea válido y que haya sido expedido a la dirección web que está consultando (en este caso www.quienteadmite.com), puede ver los datos del certificado dando doble click con el botón izquierdo del mouse sobre el candado que aparece en la parte inferior derecha y le aparecerá una ventana con estos datos:

A continuacion a modo de EJ. facilitaremos unos ej de sitios seguros, y sitios inseguros.

Sitios seguros: (todos estos sitios les abrira, por lo tanto son seguros)

https://www.hotmail.com (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.passport.net (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.bancofrances.com (se puede entrar mediante HTTPS, sitio SEGURO)
https://www.quienteadmite.com (se puede entrar mediante HTTPS, sitio SEGURO)

Sitios inseguros: (a diferencia de los sitios nombrados anteriormente, estos sitios daran error al entrar por https)

Todo sitio que pida informacion personal, y no se pueda acceder mediante https:// es inseguro, por lo tanto no recomendamos que entre, ej https://www.checkmessenger.net https://www.sexyono.com https://www.badoo.com .Si usted quiere ver si un sitio es seguro, solo agregue “https” y fijese en el candadito, y vea el certificado del sitio, compruebe que este valido, y su fecha de caducacion. No recomendamos ingresar sus datos personales en checkmessenger, sexyono y badoo.
EJ, sitio inseguro https://www.caminando.com.es este sitio no tiene certificado de seguridad como quienteadmite .

LA MENTIRA SE ACABO, GILES SON LOS QUE SOBRAN, MENOS PALABRAS, Y MAS VALIDACION.

Corporate Headquarters
GeoTrust, Inc.
311 Arsenal Street
Watertown, MA 02472 Phone: 781-292-4100
Toll Free: 800-944-0492
Fax: 781-444-3961
www.quienteadmite.com SSL 129 BITS

El principal punto débil del sistema QuienTeAdmite.com es que es imposible conocer quien nos ha quitado la admisión porque así lo quiere MSN. Hace tiempo era posible debido a un bug que permitía acceder a dicha información sin embargo hace bastante tiempo que el bug fue corregido impidiendo conocer que contactos nos quitan la admisión.

Luego considero muy pretencioso y bastante egocéntrico tratar de comparar, en temas de seguridad, una página como QuienTeAdmite.com con otras de servicios bancarios por ejemplo. Esto añadido a intentar hablar sin conocimiento de causa solo lleva a aumentar la desconfianza hacia este sitio web. Veamos:

El protocolo https asegura una comunicación segura entre el servidor y el cliente, es decir, asegura que la transmisión de datos se hace cifrada evitando que un tercero pueda interceptarlos y obtener usuario y contraseña del cliente. Pero para nada influye en lo que el servidor, en este caso QuienTeAdmite.com, haga con los datos una vez recibidos. Incluso se puede ir más allá y comentar el uso erróneo del protocolo https por parte de QuienTeAdmite.com ya que nada más entrar a la web nos sitúa en una página que no usa dicho protocolo y desde la cual se hace el envío del usuarios y contraseña de forma totalmente desprotegida, es solo cuando el usuario escribe la URL en la barra de direcciones e incluye este protocolo cuando se hace uso de él… Entonces, parece que ni siquiera en este punto la página es segura. Imagino que esto es una diferencia con la página web de un banco cualquiera, ¿no?

Por tanto si toda la defensa del sistema se basa en la implementación de este protocolo para tratar de infundir confianza en el usuario mal camino han tomado.

Y peor camino aún si para defender dicha postura deben recurrir al insulto. Esto es simplemente un indicativo de la debilidad de sus argumentos a la hora de intentar mostrar su web como un sistema seguro y funcional.

En cuanto a los Términos y condiciones de uso del servicio, estoy completamente de acuerdo en que todos los usuarios deberían leerlos, y hago hincapié en el 4º y 5º párrafos donde se indica lo siguiente (nótense también las faltas ortográficas en la redacción, imagino que para dar más confianza al usuario ):

QuienTeAdmite.com en NINGÚN caso almacenará direcciones de correo electrónico ni contraseñas ingresadas en su sistema y no brindará datos de los usuarios que utilicen sus servicios a terceros sin su previo consentimiento. Los sistemas que utilizamos son los mismos con los que cuentan los Bancos y Gobiernos de todo el mundo para su protección SSL 128 BITS (si desea mas informacion lea nuestra seccion PRIVACIDAD)

Si alguna persona considera que QuienTeAdmite.com viola algún tipo de disposición, regla o norma vigente por favor póngase en CONTACTO (Con nuestro staff ) de QuienTeAdmite.com antes de tomar medidas que puedan perjudicar al sitio.

Imagen de la página de “Términos y condiciones�?

Respecto a lo cual me sigo preguntando que si no se almacenan las cuentas de correo ni las contraseñas como es posible que se brinden dichos datos a terceros. Y el otro párrafo habla por si solo.

En la página QuienTeAdmite.com se pueden ver otras formas de intentar obtener la confianza del usuario. Veamos un ejemplo: “Quienteadmite.com se une a Hotmai/MSN ,para brindarte cuentas @quienteadmite.com con 2gb o + !!” (y nótese de nuevo la ortografía y redacción en el nombre de Hotmail y las comas fuera de lugar ). No es necesario tener ninguna relación con Hotmail o MSN para ofrecer cuentas de correo personalizadas con su dominio, sino que gracias a Windows Live Custom Domains cualquiera puede obtenerlas de forma gratuita, rápida y sencilla. Por lo tanto no es que Hotmail o MSN tengan confianza en QuienTeAdmite.com y por lo tanto le permitan ofrecer dichas cuentas de correo sino que es un servicio al que puede acceder cualquier webmaster. Al menos en este caso han tenido cuidado de protegerse las espaldas frente a cualquier demanda legal indicando en el pie de la página que “Este sitio NO tiene relación legal ni de ningún otro tipo con Microsoft Corporation.”. Es curioso entonces ver como por una parte se asegura que QuienTeAdmite.com se ha unido a Hotmail y MSN, ambos pertenecientes a Microsoft, y por otra parte QuienTeAdmite.com confiesa que no tiene ninguna relación, ni legal ni de ningún tipo, con dicha empresa.

Para terminar con la respuesta a este comentario hablaremos sobre el tema de que la presente web caminando.com.es no usa el protocolo https ni tiene ningún certificado de seguridad, aunque no entiendo que se pretende demostrar con esa acusación. Si no se usa dicho protocolo ni se dispone de certificado de seguridad es simplemente porque no son necesarios. No se necesita ninguna transmisión de datos segura entre los lectores del blog y el propio blog, entre otras cosas porque no es necesario introducir ninguna información personal ni tampoco se les solicita sus usuarios ni sus contraseñas de terceros servicios. Es más, desde aquí se aconseja a los lectores no dar usuarios y contraseñas a nadie, incluido QuienTeAdmite.com.

Leer más en los comentarios de este artículo.

• Seguridad , Internet
• Comentarios (56)

Juanjo 10 de Junio de 2007

Lavasoft ha lanzado una nueva versión de su producto anti-spyware (software espía): Ad-Aware 2007 Free. Esta es la versión gratuita, para uso personal cuenta con algunas limitaciones que no están presentes en las versiones de pago tal y como puede observarse en esta lista, sin embargo no deja de ser una de las mejores opciones para eliminar el software espía de nuestros PCs.

La lista de novedades es la siguiente:

• Motor de búsqueda rediseñado: aporta una mayor flexibilidad así como métodos de exploración del sistema más precisos.
• Identificación de secuencia de códigos mejorada: capacidad de detectar software maligno conocido o desconocido incrustrado en otro software, aumentando de esta forma la seguridad y protección de la privacidad.
• Actualizaciones incrementales de archivos de definiciones: a partir de ahora, no es necesario descargar el archivo de definición de spyware completo cada vez que se actualice, sino que basta con descargar la parte que contiene solo las nuevas amenazas. De esta forma se ahorra tiempo y recursos cada vez que se actualicen las definiciones ya que el archivo con las novedades será mucho más pequeño.
• Borrado de registros de navegación: mayor privacidad gracias a la capacidad de borrar todos los registros que quedan en los navegadores Internet Explorer, Opera, y Mozilla FireFox después de usarlos. Dichos registros son por ejemplo el historial de navegación y las “cookies”.
• Compatibilidad con varios navegadores: opciones de integración expandidas con los navegadores Internet Explorer, Opera y Mozilla Firefox.
• Nueva interfaz más intuitiva que reduce la complejidad de comprobar y eliminar la presencia de software espía.

Se puede descargar desde este enlace: Ad-Aware 2007 Free.

• Seguridad
• Comentarios (0)

Juanjo 30 de Marzo de 2007

En la seguridad informática se establece, como norma general, para la elección de contraseñas una determinada longitud, uso de caracteres alfanuméricos y símbolos, evitar usar palabras comunes, nombres propios, apellidos, de familiares, mascotas, fechas de cumpleaños, números de identificación, números de teléfono, matriculas, … de forma que sea complicado el robo de dichas contraseñas.

En este enlace se puede ver, según el tipo de contraseña, cuanto se tardaría en descubrirla mediante ataques de fuerza bruta.

Pero existen otras formas mucho más fáciles de obtener contraseñas: mediante la ingeniería social, es decir, engañando al usuario. Incluso se puede ir un paso más allá, cuando el usuario da su contraseña voluntariamente.

Leer el artículo completo »

• Seguridad , Informática , Internet
• Comentarios (84)