web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

GUÍA ESENCIAL DE SEGURIDAD INFORMÁTICA Cómo cubrir sus bases y evitar los hackeos más frecuentes

Mardoqueo Carranza Especialista en Banca en línea y Comercio Electrónico Fundador Web Informática

web-informatica.com

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Tabla de Contenidos

Introducción………………………………………………………………………………… 3 El Cuidado de su red…………………………………………………………………….. 4 El cuidado de su equipo……………………………………………………………… 8 El cuidado de sus datos………………………………………………………………. 12 El cuidado de su Banca en línea……………………………………………… 15 El cuidado de su tienda en línea……………………………………………… 18 Un último consejo…………………………………………………………………………. 23

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

INTRODUCCIÓN

La velocidad a la que avanza la transformación digital de las empresas en América Latina obliga a las pequeñas y medianas empresas a adoptar tecnologías de forma abrupta, algunas veces para ganar mercado y otras para reducir costos. Sin embargo, la mayor parte de pequeñas y medianas empresas no cuentan con un departamento de tecnologías de información, delegando las tareas relacionadas a profesionales externos (en el mejor de los casos) o a personas con algún conocimiento técnico dentro de la organización.

En cualquiera de los casos, aún en empresas grandes y con departamentos informáticos de varias decenas de personas, los aspectos de seguridad no siempre quedan cubiertos, dejando rendijas, ventanas o puertas abiertas a intrusos y delincuentes informáticos.

Esta guía esencial está diseñada para que cualquier empresa pequeña pueda cerrar esas puertas y ventanas de manera costo-eficiente y sepa cómo reaccionar en los caso de desastre. Adicionalmente, recomendamos mejores prácticas, hardware y software útil, algunos son gratis; otros son productos que utilizamos en nuestras oficinas o de los que tenemos códigos de afiliación.

A todos, nuestros deseos de éxito!

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su red

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El Cuidado de su red Uno de los puntos más vulnerables para el robo de información es la vulneración de la red wifi de su casa u oficina. Cuando un intruso tiene acceso a su red puede, potencialmente, escuchar y capturar todo el tráfico que pasa por ella.

Todo inicia con un buen router.

Poder proveer de forma uniforme y continua el servicio de internet o la red de tu oficina es crítico a la hora de seleccionar un Router, este debe permitirte tener la seguridad deseada y la conexión deseada, por lo que antes de comprar un router deberás conocer las características de estos, existen una infinidad de routers y así como una variedad de servicios que estos proveen.

Cuando es para uso residencial o de pequeñas empresas, posiblemente no necesites más que un router simple con servicio de asignación de IP’s por DHCP y acceso por contraseña simple.

Sin embargo si tu empresa es más grande es importante que el router provea servicios tales como bloqueo de sitios web no adecuados, manejo del ancho de banda, reserva de direcciones ip para equipos fijos, manejo de VPN entre muchos.

Routers recomendables:

Para Oficina con menos de 10 equipos

1. Que permita la conexión de 10 equipos 2. Que permita bloquear acceso por mac address para eliminar a los

abusivos. 3. Que posea un rango acorde a tu oficina.

Te podemos recomendar estos modelos

https://amzn.to/2ALIL1w https://amzn.to/2XG0WP4 https://amzn.to/3haj9wa

TP-Link AC2600 Smart WiFi Router - MU-MIMO

TP-Link AC1200 Gigabit Smart WiFi

TP-Link AC1900 Smart WiFi Router,

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Para Oficinas de más de 10 conexiones.

1. Cantidad de conexiones IP segúnWeb Filtering 2. IP Security 3. VPN Tunel

Te recomendamos los siguientes:

https://amzn.to/2XMpIxf https://amzn.to/2AV8V1J https://amzn.to/2XNSNbH

Cisco RV260 VPN Router with 8 Gigabit Ethernet (GbE) Ports

Cisco RV260W VPN Router with 8 Gigabit Ethernet (GbE) Ports plus Wireless-AC

TP-Link AC4000 Smart WiFi Router - Tri Band Router, MU-MIMO, VPN Server, Advanced Security by HomeCare

Acciones Fundamentales para Cuidar Su Red A continuación las tres acciones fundamentales para cuidar su red:

1. Restringe equipos que pueden acceder.

Maneje y controle los dispositivos que pueden acceder a su red. Haga un monitoreo aleatorio de los equipos conectados y mantenga estos identificados. De esta manera, si de pronto un equipo no identificado ingresa a su red, será fácil de identificar y bloquear.

2. Restringe horas de acceso.

La mayoría de los routers poseen acceso por hora, permitiendo que tu bloquees las horas de acceso en el cual los usuarios pueden conectarse, revisa los horarios de tu personal y activa y desactiva el internet cuando este no debería ser utilizado.

6

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

3. Manejo de contraseñas

Es sumamente importante que la contraseña de tu casa o negocio sea lo suficientemente robusta como para no ser vulnerada por medio de un ataque de fuerza bruta, por lo que te recomendamos que la contraseña que elijas tenga por lo menos 8 caracteres incluya mayúsculas y minúsculas y símbolos, puedes utilizar una técnica en el cual unes nombres, número y letras con una palabra común y así hacer que no se te olvide, por ejemplo 1Nt3rneTdeM!Casa

7

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su equipo

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su equipo

Uno de los puntos más vulnerables en toda organización son los equipos de los usuarios en su red. Si un equipo se ve comprometido, es bien probable que toda la red se vea vulnerada.

Caso de la vida real (Sabemos que parece extraído de una película):

En una institución altamente resguardada y con muchos datos valiosos, un técnico informático fue identificado por una red de delincuentes cibernéticos. Los delincuentes prepararon una memoria extraíble (USB Drive) con un programa para capturar datos y ganar accesos. Luego, contrataron a una modelo, vestida como promotora, para que regalara esta USB al técnico en un evento. El técnico conectó la USB en su equipo personal, comprometiéndolo.

Al conectarse posteriormente su equipo personal a la red de su trabajo, dio acceso a los hackers, quienes lograron su objetivo.

Buenas políticas son la clave.

Es una realidad que los usuarios tienen diferentes capacidades informáticas, habilidades y disciplinas, por lo que son altamente riesgosos. Para mitigar el riesgo, se recomiendan tres políticas muy sencillas que cualquiera puede seguir:

1. Antivirus actualizado. Si tu utilizas un sistema operativo que es susceptible a los virus, te recomendamos que tengas un muy buen antivirus, para esto existen muchas opciones en el mercado, las cuales van desde lo gratis, hasta servicios pagados con garantías.

Si tú no puedes comprar un antivirus para todos tus equipos, te recomendamos que utilices las versiones gratuitas de:

Windows Defender AVAST

9

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Pero para equipos con mayor riesgo o valor, te recomendamos que compres las versiones completas de un buen antivirus. Estos son buenos antivirus por buen precio:

Avast Premium Aprovecha la oferta de afiliado Panda (https://www.pandasecurity.com/)

2. Equipos con contraseñas.

a) Hacer claves de una longitud mínima de 8 caracteres. Los caracteres vuelven a la contraseña más robusta.

b) Realizar combinaciones alfanuméricas. Estas son más difíciles de descubrir, teniendo en cuenta las diversas posibilidades de combinación de los caracteres.

c) Utilizar distintas claves para cada servicio. De esta manera, si la contraseña es revelada, será más difícil para el atacante acceder al resto de las plataformas del usuario.

d) Evitar palabras comunes. Quienes conocen de informática pueden revelar una clave en cuestión de segundos.

e) Tener especial cuidado al elegir la pregunta secreta que solicitan en algunas plataformas. En las redes sociales hay mucha información personal que se vuelve pública y puede ser utilizada para descifrarla.

f) Prestar atención cuando se accede a los servicios desde espacios públicos. Existen ciertos programas que facilitan la interferencia de las plataformas y pueden almacenar las pulsaciones del teclado.

g) Cambiar periódicamente las claves. Esto aumenta el nivel de seguridad de las credenciales.

h) Finalmente, tres estrategias para recordar las diferentes claves a lo largo del tiempo:

Cambiar las vocales por números. Por ejemplo, “Mi Clave es segura”: M3 Cl1v2 2s s2g5r1.

Utilizar reglas mnemotécnicas, como elegir la primera letra de cada una de las palabras de una frase fácil de recordar. Por ejemplo, “Mi Clave es segura”: MCe10vs.

Claves basadas en un mismo patrón. Por ejemplo, añadir al final las iniciales cada red social: MCe10vFB (Facebook ); MCe10vTR (Twitter); MCe10vsGM (Gmail)

10

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

3. No descargas de software en equipos de oficina.

Es importante recordar que el equipo de oficina no es tu equipo personal, por lo que nunca deberás instalar programas para uso personal en el equipo ya que esto puede generar una serie de problema como:

a) Infectar la computadora con virus

b) Instalar un software malicioso que puede robarte información (Malware)

c) Crear incompatibilidad de librerías con un software de tu oficina y dejar de funcionar un software necesario para tu trabajo

11

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de sus datos

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de sus datos

Los datos son el oro que se debe resguardar mejor. Sin embargo, en muchas organizaciones, los Estados Financieros se envían por correo electrónico, las bases de datos de clientes están en carpetas compartidas y cualquier persona en la organización tiene acceso a los servidores locales.

Caso basado en hechos de la vida real:

Sucedió en una empresa pequeña dedicada a la venta y mantenimiento de equipos electrónicos. El departamento de servicio al cliente mantenía toda la bitácora de visitas, listado de clientes con contratos de mantenimiento, calendario de visitas programadas y listado de repuestos disponibles en un Google Drive.

La organización tenía un gerente de área, dos supervisores y cuatro técnicos de campo, todos con acceso a toda la información del Drive y con teléfonos celulares de la empresa. Uno de los supervisores cometió un robo de equipo, siendo despedido instantáneamente.

El supervisor entregó su teléfono y computadora y se marchó… a un cibercafé cercano. Desde allí accedió al Google Drive, copio la información disponible, restringió accesos al resto del equipo y luego borró la información. La operación se paralizó por un par de días. La empresa debió luego contratar un abogado especialista para presionar al ex-empleado a retornar la información a cambio de no ser acusado penalmente.

La clave está en reconocer el valor de la información

Para resguardar datos, aquí están nuestras tres recomendaciones elementales que cualquier empresa puede implementar a muy bajo costo.

1. Manejo de accesos a archivos compartidos.

Es una realidad que Google Drive, DropBox, OneDrive y similares son maneras muy prácticas de mantener copias compartidas y, de alguna forma, respaldadas en caso de desastre. Sin embargo, cada persona con acceso a una carpeta también representa un riesgo.

13

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

2. Copias de seguridad Off-Premises.

Dependiendo del volumen, sensibilidad y frecuencia de cambio en los datos, es recomendable tener una copia de resguardo (Backup) en un disco duro externo fuera de las instalaciones físicas donde se encuentra el servidor principal. Por supuesto, este disco duro externo debe estar resguardado también y con acceso restringido.

Verifica los reviews de los discos duros, ya que estos pueden variar según fueron creados, hoy en día existen muchos discos los cuales son de estado sólido y son de alta velocidad.

Ejemplos de discos duros externos de buen valor por costo.

https://amzn.to/2MI0I3O https://amzn.to/3cKXYNN https://amzn.to/2BMmbGB

BUFFALO MiniStation 2 TB - USB 3.0 Portable Hard Drive

WD 4TB My Passport Portable External Hard Drive, Black - WDBPKJ0040BBK-WESN

SanDisk 500GB Extreme Portable External SSD - Up to 550MB/s - USB-C, USB 3.1 - SDSSDE60-500G-G25

3. Políticas de colaboración y acceso a información.

Se recomienda tener un administrador de carpetas compartidas en discos en la nube. Este administrador debe tener acceso a todas las carpetas y ser responsable de asignar accesos y retirarlos.

La práctica de esta persona debe ser la siguiente:

a. Mensualmente, revisar accesos a carpetas, asegurando que a cada carpeta sólo pueden acceder empleados que lo requieren para su trabajo.

b. Retirar accesos a empleados que renuncian, son despedidos o cambian de departamento.

14

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su banca en línea

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su Banca en línea

La banca en línea y otras plataformas de terceros (CRM, QuickBooks, Hubspot, etc) tienen información confidencial de su compañía. En el caso de la banca en línea, un intruso incluso puede transferir dinero a otras cuentas y robar.

Caso de la vida real: La contraseña en el post-it.

La víctima fue un mediano empresario. El caballero, habiendo llegado a crecer su compañía a una que le ofrecía un buen estilo de vida, mantenía su computadora permanentemente encendida en su escritorio y él, religiosamente, tomaba dos a tres horas diarias durante el almuerzo. Él era el único responsable de realizar los pagos a sus empleados, por lo que entraba al sitio web bancario semanalmente. Este día, vió que su cuenta principal tenía un faltante de $30 Mil dólares. ¿Qué sucedió? El caballero mantenía un post-it en su computadora con la clave del banco, dado que era compleja. Un día, su asistente de confianza, ingresó a la oficina durante la hora de almuerzo, ingresó al banco con las contraseñas expuestas y el doble factor enviado al correo electrónico del dueño. Posteriormente, hizo transferencias a varias cuentas bancarias, donde un grupo de cómplices retiraron el dinero en cajeros electrónicos. Posteriormente, eliminó todos los correos electrónicos probatorios.

La clave está en la desconfianza.

El cuidado de su banca en línea depende del nivel de desconfianza que se logre desarrollar - incluso paranoia - en las personas más cercanas. Sabemos que suena mal, pero la mayor parte de robos en plataformas electrónicas se dan en oportunidades donde se confió en un tercero.

16

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Aquí las cuatro recomendaciones esenciales.

1. Nunca entre al banco desde una red pública, mejor utilice su teléfono como hotspot

2. Nunca ingrese sus datos personales en redes gratis

3. Asegúrese que el wifi al que se conecta sea el correcto y no sea uno con un nombre parecido con la finalidad de robarle sus datos por ejemplo un wifi puede ser Starbucks y la del hacker sea Starbucks Gratis.

4. Proteja el doble factor, si usted posee redes sociales, correo electrónico, banca en línea, active la validación de doble factor el cual solicita información por lo general de su teléfono o un dispositivo “Token” el cual le asegura que solo podrá tener acceso por medio de su clave o el doble factor.

17

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su tienda en línea

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

El cuidado de su tienda en línea

Las empresas de ahora necesitan tener una tienda en línea propia. Este lugar digital permite a las empresas vender a toda hora sin necesidad de locales comerciales o vendedores. La pandemia del 2020 nos recordó a todos la importancia de poder trabajar a distancia y poder cobrar en línea.

Sin embargo, hay aspectos de su tienda que deben protegerse.

1. Certificado de Seguridad – SSL

Un certificado SSL (Secure Sockets Layer) es un título digital que autentifica la identidad de un sitio web y cifra con tecnología SSL la información que se envía al servidor. El cifrado es el proceso de mezclar datos en un formato indescifrable que solo puede volver al formato legible con la clave de descifrado adecuada.

Un certificado sirve como un "pasaporte" electrónico que establece las credenciales de una entidad en línea al hacer negocios en la Web. Cuando un usuario de Internet intenta enviar información de credenciales a un servidor web, el navegador del usuario accede al certificado digital del servidor y establece una conexión segura.

Un certificado SSL contiene la siguiente información:

● El nombre del titular del certificado

● El número de serie del certificado y la fecha de vencimiento

● Una copia de la clave pública del titular del certificado

● La firma digital de la autoridad que emite el certificado

¿Cómo se instala?

Inicia sesión en tu cuenta del proveedor del servidor y abre el producto.

Haz clic en Admin. de cPanel.

En la sección Seguridad, haz clic en SSL/TLS.

En Certificados (CRT), haz clic en Generar, ver, cargar o eliminar certificados SSL.

19

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Usa la sección Cargar certificado para cargar el certificado principal (archivo .crt con un nombre aleatorio) desde tu máquina local y haz clic en Cargar certificado.

En la página nueva, haz clic en Regresar:

1. Desplázate hacia la parte inferior de la página Certificados SSL y haz clic en Regresar a administrador SSL.

2. En la sección Instalar y administrar SSL para tu sitio (HTTPS), haz clic en Administrar sitios SSL.

3. Desplázate hacia la sección Instalar un sitio web SSL y haz clic en Explorar certificados.

4. Selecciona el certificado que deseas activar y haz clic en Usar certificado. Esto llenará de manera automática los campos para el certificado.

5. Deslízate hacia la parte inferior de la página y haz clic en Instalar certificado.

6. Una vez que aparezca el mensaje emergente Se instaló correctamente, haz clic en Aceptar.

2. Pasarela de pagos

Las pasarelas de pago son herramientas fundamentales en los negocios eCommerce porque ofrecen seguridad y confianza a las transacciones online. Funcionan como TPV virtuales que autorizan los pagos por tarjeta de crédito desde aplicaciones web o móviles. Es decir, hablamos de plataformas que facilitan el pago telemático a través de Internet.

Son importantes porque además de ofrecer una gran experiencia de pago a los clientes, pueden ayudar a reducir de manera considerable el fraude con las tarjetas de crédito dentro del eCommerce. En concreto, las pasarelas de pago actúan como intermediarios que garantiza que los datos del cliente estén cifrados y sean seguros.

Estafas por teléfonos

Los estafadores usan premios, productos o servicios exagerados, incluso falsos, como carnada para que usted muerda el anzuelo. Algunos pueden llamarlo, pero otros le enviarán cartas, mensajes de texto o publicarán anuncios para que usted los llame a ellos para averiguar más detalles.

Nunca dé su información personal:

20

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Si recibe una llamada de un desconocido que está tratando de venderle algo que no había planeado comprar, diga “no, gracias” Y si lo presionan para que dé su información personal como su número de tarjeta de crédito o de Seguro Social probablemente se trate de una estafa.

2. Datos de clientes

Toma en cuenta integrar herramientas que ayuden al envío de emails así como también el almacenar datos de tus clientes con lo que te ayudan hasta segmentar listas de contactos, clasificación, de clientes, etc. Estás herramientas te ayudarán a fidelizar clientes, te proporcionan valiosos informes, y también lo que queremos es almacenar datos de clientes, así no se nos perderán los datos.

Algunas de las herramientas para el envío de emails:

● Constant Contact

● Aweber

● MailChimp

Integración a CRM si fuera necesario

El CRM es una herramienta que combina la gestión de ventas, atención al cliente y marketing. Para hacer las funciones de marketing mucho más completas el CRM se puede integrar con una herramienta de marketing automation. Los sistemas CRM y las herramientas de marketing automation cubren funcionalidades distintas por separado, pero cuando funcionan de manera conjunta aumentan los beneficios para las empresas. Para que el proceso hacia la venta sea eficiente, desde que entra un nuevo lead, que tiene interés en nuestros los productos o servicios, hasta que se convierte en cliente, necesitamos disponer de información relevante de éstos para clasificarlos y comunicarnos de una manera más personalizada con ellos. La combinación de marketing automation y CRM nos facilita el proceso de conversión de un lead a cliente.

21

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Dentro de las múltiples ventajas de la integración, os detallamos algunos de los beneficios más importantes de la utilización de un sistema CRM conectado con una herramienta de marketing automation.

Las herramientas de marketing automation ayudan a los profesionales de ventas a proporcionar los contenidos adecuados en el momento preciso con el objetivo de facilitar el éxito de compra de los potenciales clientes. Mediante el nurturing leads, la herramienta de marketing automation envía de forma automática emails con contenido que hace avanzar al lead en el ciclo de venta.

¡Nunca dejar datos de compradores sólo en bandejas de email- se pierden!

Estamos muy seguros que los correos, la información importante, de nuestros clientes o compradores se nos pierden en nuestros correos es por ello que una buena práctica para que no te pase eso es que crees la estructura y optimices una base de datos de tus respectivos clientes de manera que esté segura y organizada.

Esto te ayudará de mucho, como te mencionamos en el punto anterior, a la segmentación de clientes, y con las herramientas para el envío de emails podrás enviarlos en el momento oportuno y a los clientes que tienen que ser.

22

web-informatica.com GUIA ESENCIAL DE SEGURIDAD INFORMÁTICA

Un último consejo

Plan de recuperación en caso de desastre.

A pesar de los mejores esfuerzos y el apego a las mejores prácticas, el riesgo de ser víctima de un ataque es real y probable. Un plan de recuperación en caso de desastre es el listado de acciones, en orden, que se deben tomar en caso de ser atacados y vulnerados.

Este plan tiene actividades, responsables y tiempos de ejecución.

El objetivo de un plan de recuperación es poder estar funcionando normalmente en horas, limitando el daño a la continuidad del negocio.

Recomendamos tener siempre a mano el teléfono de un técnico especialista que apoye en estos casos.

¿Dudas? Si necesita apoyo adicional o desea implementar una tienda en línea, escríbanos a: guia@web-informatica.com