Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Alertas

#20. ¡Cambia las contraseñas que vienen por defecto en los dispositivos o aplicaciones!

A menudo, los dispositivos salen de fábrica con el mismo usuario y contraseña, por lo que, si no se cambian al empezar a utilizarlos, cualquier persona podría acceder a ellos. Por ejemplo, el router de wifi puede tener usuario «admin» y contraseña «1234». Si fuera así, sería muy sencillo acceder a la consola de administración y hacer los cambios pertinentes para poder beneficiarse del servicio de wifi gratuitamente. Lo mismo ocurre con las aplicaciones que, por defecto, tienen contraseñas muy sencillas para todos los usuarios, por ejemplo «0000». Cambia estas contraseñas cuando empieces a utilizar una aplicación o dispositivo para garantizar la seguridad.

Que puedo hacer

  • Cambiar las contraseñas que vienen por defecto en los dispositivos o programas.
  • Cerrar la sesión de nuestras aplicaciones en los navegadores web.
  • Concienciación y responsabilidad de la custodia de las contraseñas.
  • Utilizar contraseñas diferentes para cada aplicación o servicio.
  • Utilizar generadores de contraseñas.
  • Utilizar un gestor de contraseñas (programa específico para almacenar y cifrar las contraseñas) para guardarlas y recordarlas.
  • Cambiar la contraseña de forma inmediata en el caso que se sospeche que se ha visto comprometida.
  • Cambiar las contraseñas periódicamente.
Protegerme
  • No utilizar las credenciales corporativas en plataformas distintas a las proporcionadas por la UIB.
  • No compartir nunca las contraseñas.
  • No utilizar las mismas contraseñas para tareas personales y tareas profesionales.
  • Las contraseñas no deben contener palabras de diccionario.
  • Las contraseñas no deben contener nombres propios, fechas, lugares u otros datos de carácter personal.
  • Las contraseñas no deben contener el nombre del usuario o de la aplicación, ni total ni parcialmente.
  • Las contraseñas no deben contener una combinación de caracteres del teclado (p.ej. qwerty, 123456).
  • No reutilizar contraseñas que se hayan empleado anteriormente.
  • No utilizar las opciones de recordatorio de contraseñas especialmente en los navegadores web.
  • Las contraseñas no deben apuntarse en papeles o post-it ni dejarlos a la vista de cualquiera.

#19. ¡Alerta con las versiones de windows que ya no tienen soporte y no disponen de actualizaciones de seguridad!

Es importante actualizar a una versión de Windows que todavía tenga un ciclo de vida activo. Actualmente hay dos opciones: Windows 10 y Windows 11.

Cuando finaliza el soporte de un sistema operativo, éste deja de recibir actualizaciones de seguridad, de calidad y corrección de errores, y esto pone en peligro la seguridad de tu dispositivo.

Que puedo hacer

  • Cuando no utilicemos nuestros dispositivos (móviles, ordenadores u otros), aunque sea por un instante, debemos bloquearlos para evitar que cualquiera pueda comprometer la información que contienen.
  • En el momento en que dejamos de utilizar un documento en papel hay que archivarlo de manera segura, incluso cuando tengamos que ausentarnos temporalmente. También habrá que almacenarlo bajo llave, especialmente cuando se trate de un documento confidencial o crítico.
  • Eliminar de manera segura los documentos que ya no sean útiles. En muchas ocasiones, la información que contienen puede ser crítica o muy útil para otra entidad o persona. Por este motivo, hay que destruirlos o eliminarlos, de manera que no se pueda recuperar esta información.
  • Notificar cualquier incidencia de seguridad (virus, pérdida de información o de dispositivos, etc.).
  • Cifrar la información confidencial.
  • Mantener actualizado el sistema operativo de nuestros equipos.
  • Mantener el antivirus actualizado y activo en nuestros equipos.
Protegerme
  • Las contraseñas deben seguir la complejidad, longitud y periodicidad que tenga establecida la política de contraseñas seguras de la universidad, así como ser únicas y no compartirse nuncaNo se deben apuntar en lugares que sean accesibles, como pueden ser notas pegadas a la pantalla o debajo del teclado.
  • No descuides los dispositivos externos. Es imprescindible tener todos los dispositivos siempre a la vista, cualquier descuido, pérdida o robo podría desencadenar un incidente de seguridad. Si estás en constante movilidad, guarda los dispositivos cuando no los estés usando y cifra la información que contienen.
  • No abandonar documentación sensible en impresoras o escáneres. Recoger inmediatamente aquellos documentos impresos y guarda la información una vez escaneada.
  • No revelar información a usuarios no debidamente identificados.
  • No instalar aplicaciones sin licencia o cuyo origen desconozcas.

#18. ¡Alerta con los archivos no permitidos en los correos electrónicos

Por razones de seguridad, en el servicio de RedIRIS que utiliza la UGR aplica una serie de restricciones a los archivos que se pueden enviar y recibir por correo electrónico:

Archivos protegidos con contraseña: correos con adjuntos protegidos con contraseña son considerados sospechosos y serán entregados en el destino final con una etiqueta de aviso o depositados en la zona de cuarentena.

Archivo que no se pueden adjuntar:  para proteger las cuentas de los usuarios, el servicio no permite adjuntar ciertos tipos de archivo.

Archivos con extensiones no permitidas: estas extensiones no estan permitidas por el servicio de seguridad en el correo de RedIRIS.

.ade ,  .adp , .apk,  .appx,  .appxbundle, .bat,  .cab,  .chm,  .cmd,  .com,  .com1,  .cpl,  .dll,  .dmg, .exe,  .hta,  .inf,  .ins, .iso,  .isp, .jar ,  .java, .js, .jse, .lib,  .lnk,  .mde,  .msc,  .msi , .msix,  .msixbundle,  .msp,  .mst,  .nsh,  .ocx,  .pif,  .ps1,  .reg,  .scr,  .sct, .shb,  .sys,  .themepack, .thmx,  .vb , .vbe, .vbs , .vxd ,  .ws, .wsc, .wsf, .wsh,  .xpi

Que puedo hacer

  • Antes de abrir cualquier fichero descargado desde el correo asegurarse de cuál es su extensión y no fiarse solo del icono asociado al fichero.
  • Cuando se envía un mensaje a varias personas y se quiere evitar que los destinatarios puedan ver el resto de direcciones, utilizar la función de copia oculta (CCO o BCC).
  • Utilizar listas de distribución cuando se tenga que hacer un envío masivo de correos.
  • Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información en motores de búsqueda como Google o Bing.
  • Cifrar los mensajes de correo que contengan información sensible

Protegerme

  • No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo que se considera «normal» o habitual.
  • No fiarse únicamente del nombre del remitente. Comprobar que el dominio del correo recibido (el que hay después de @ de la dirección) es de confianza. Si un correo procedente de un contacto conocido solicita información inusual, contactar con el mismo usuario por teléfono, u otra vía de comunicación, para corroborar la legitimidad de la solicitud.
  • No habilitar las macros de los documentos ofimáticos descargados incluso si el propio fichero así lo solicita.
  • No hacer clic en ningún enlace que solicite datos personales ni bancarios.
  • En el caso de utilizar la versión web para acceder al correo electrónico, no almacenar las credenciales en el propio navegador. Antes de cerrar la sesión del navegador se debe asegurar cerrar la sesión de la cuenta de correo electrónico.

Más información:

#17. ¡Alerta con las URL acortadas!

Cuando navegamos por internet, a menudo encontramos lo que se conoce como URLs acortadas. Una URL acortada es solamente una dirección web con menos caracteres que la dirección de la página web original, pero que nos dirige al mismo sitio. Al acortar la dirección, estas URL ocultan la dirección a la que nos dirigen los enlaces.

Los atacantes utilizan servicios de acortadores de URL para conseguir una versión reducida de la dirección web y llevarte a un enlace que es una amenaza para ti. Estas amenazas pueden ser: descarga de malware, ataque de phishing o smishing y spam.

Nos podemos encontrar URL acortadas en SMS, correos electrónicos o redes sociales. Actualmente, plataformas como Facebook, Twitter, LinkedIn y YouTube tienen recortadores de URL integrados en su propio servicio para facilitar esta tarea a los usuarios.

Si quieres comprobar a donde te dirige la URL acortada, puedes utilizar, por ejemplo, alguna de las siguientes herramientas:

Que puedo hacer 

  • En la medida de lo posible, asegurarse de que el sitio web visitado es fiable. La UIB implementa mecanismos de bloqueo automático en lugares que se consideran maliciosos.
  • Tener actualizado el navegador y los plugins instalados. Se recomienda configurar los navegadores de manera que se actualicen automáticamente, bien de forma transparente al usuario o mediante notificaciones que deberán ser aprobadas.
  • Instalarse plugins sólo desde lugares oficiales.
  • Verificar que los certificados remitidos por servicios HTTPS que manejan información sensible (por ejemplo, servicios de correo, banca electrónica, etc.) han sido remitidos por una autoridad de certificación (CA) de confianza.
  • Valorar el uso de extensiones o complementos adicionales que implementen funcionalidades no previstas por el navegador. Por ejemplo, las que mejoran la privacidad durante la navegación o que bloquean en la medida de lo posible anuncios, banners publicitarios y determinadas técnicas de seguimiento utilizadas por terceros.
  • Utilizar navegación privada cuando se navega desde dispositivos de los que el usuario no es su propietario.
Protegerme
  • Desactivar por defecto conectores como Adobe Flash y Java. Habilitar los mismos bajo demanda solo para aquellos servicios conocidos y que sean de confianza.
  • Deshabilitar o eliminar las extensiones en desuso.
  • Desactivar JavaScript para navegar por páginas web desconocidas.
  • Revisar las opciones de seguridad y privacidad del navegador:
  • no aceptar galletas de terceros,
  • bloquear pop-ups,
  • evitar la sincronización de contraseñas,
  • evitar el autocompletado,
  • borrar los ficheros temporales y galletas al cerrar el navegador,
  • bloquear la geo-localización,
  • filtrar ActiveX
  • No almacenar en el navegador credenciales de acceso a servicios web.

Más información: URL acortadas: consideraciones a tener en cuenta

#16. ¡Revisa el destino de los enlaces en el correo electrónico!

Es importante revisar los enlaces que aparecen en un correo electrónico. Puedes ver el destino del enlace antes de hacer click (pasando el cursor sobre él).

La Universidad utiliza servicios de RedIRIS para mejorar la protección de los usuarios frente a amenazas específicas que se distribuyen a través de correo electrónico, incluido fraudes electrónicos (phishing) y ataques dirigidos. Cuando un usuario hace clic sobre los enlaces (URLs) en su correo electrónico, estos enlaces pueden ir a páginas webs maliciosas y por lo tanto son una amenaza. Para evitar que esto suceda la tecnología del servicio lavadora de RedIRIS protege a sus usuarios y recursos bloqueando el acceso a enlaces maliciosos incluidos en el correo electrónico.

Si en el correo electrónico la URL reescrita añade al principio del enlace «https://urldefense.com/v3/_», significará que se realizará la comprobación de si el enlace original conduce a una web maliciosa o no. Si el enlace es malicioso aparece una página web que indica «¡Esta página está bloqueada!»

De esta manera disponemos de una capa de protección adicional contra páginas webs potencialmente maliciosas.

Que puedo hacer

  • Antes de abrir cualquier fichero descargado desde el correo asegurarse de cuál es su extensión y no fiarse solo del icono asociado al fichero.
  • Cuando se envía un mensaje a varias personas y se quiere evitar que los destinatarios puedan ver el resto de direcciones, utilizar la función de copia oculta (CCO o BCC).
  • Utilizar listas de distribución cuando se tenga que hacer un envío masivo de correos.
  • Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información en motores de búsqueda como Google o Bing.
  • Cifrar los mensajes de correo que contengan información sensible.
Protegerme
  • No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo que se considera «normal» o habitual.
  • No fiarse únicamente del nombre del remitente. Comprobar que el dominio del correo recibido (el que hay después de @ de la dirección) es de confianza. Si un correo procedente de un contacto conocido solicita información inusual, contactar con el mismo usuario por teléfono, u otra vía de comunicación, para corroborar la legitimidad de la solicitud.
  • No habilitar las macros de los documentos ofimáticos descargados incluso si el propio fichero así lo solicita.
  • No hacer clic en ningún enlace que solicite datos personales ni bancarios.
  • En el caso de utilizar la versión web para acceder al correo electrónico, no almacenar las credenciales en el propio navegador. Antes de cerrar la sesión del navegador se debe asegurar cerrar la sesión de la cuenta de correo electrónico.

Más información: https://www.rediris.es/lavadora/RedIRIS – Servicio LAVADORA – URLdefense