¿Te ha pasado? Abres tu buzón de correo y está lleno de basura. Es más, ¿hace cuánto que no abrías tu buzón? ¿Qué has hecho en todo ese tiempo? ¿Cómo te has mantenido al corriente de tus pendientes? ¿Será algo generacional? No lo creo. Si eres como yo, cada vez usas más el chat (mensajería instantánea) para conversaciones de trabajo.
En Mavixel nos apasiona la tecnología y la forma como puede apoyar a las organizaciones. En este blog tratamos de difundir ideas y consideraciones de actualidad relacionadas con el uso de las tecnologías de la información. ¡Visita nuestra página Web y conoce nuestras opciones de capacitación!
¿Ha llegado el fin del E-mail?
Algo que parece ser una tendencia inescapable en nuestra forma de trabajar es: dejar de enviar correos electrónicos y reemplazarlos por mensajes instantáneos. El correo electrónico se está convirtiendo en un simple almacén.
No importa la aplicación: WhatsApp, Telegram, Facebook Messenger, Slack, Teams, etc., cada vez decimos más a través de esas plataformas y decimos menos a través del correo electrónico. Tienes chats grupales, chats con clientes y proveedores ychats con colegas. A veces usas diferentes aplicaciones con diferentes personas, porque hay quien sólo te contesta por WhatsApp y quien sólo te contesta por Facebook, por ejemplo.
¿Cuándo fue la última vez que te tomaste tiempo para redactar un mensaje apropiado y enviarlo por correo electrónico?
En su favor, podríamos decir que las aplicaciones de mensajería instantánea tienen inmediatez. Envías el mensaje y te responden en ese instante. ¿Y si te dejan en visto? Siempre. Puedes. Enviar. Mil. Mensajes. Chiquitos. Para. Que. Esté. Sonando. Y. Sonando. El. Celular. de. tu. Interlocutor. Hasta. Que. Conteste. O ni tan chiquitos. Puedes enviar un párrafo entero y luego frases sueltas que no tengan sentido a menos que lean todo. ¡Respuesta garantizada!
En su contra, también se encuentra la inmediatez. El mensaje te llega a mitad de una junta, a la hora de la comida, cuando vas manejando, en clase, en tu sesión de yoga, en el cine o mientras te estás bañando (y te das cuenta porque el volumen de tu música disminuye un par de segundos). No hay manera de ignorarlo. Si no tenías un trastorno obsesivo-compulsivo, la mensajería instantánea te lo genera, o te lo refuerza si ya existía. No puedes tener notificación de mensajes sin revisar.
Si decides ignorar los mensajes para no estar esclavizado a tu celular, también es fácil que se te olvide contestarlos. Los respondes en tu mente, y hasta les das una redacción perfecta totalmente acorde con la emoción que quieres transmitir. Y luego ¡se te olvida escribirlo! Y más adelante te preguntas ¿porqué no tuvo éxito esa negociación?
Peor todavía es, cuando sacrificas la ortografía para contestar de inmediato. ¿Qué importa? Son mensajes efímeros. Lo importante es que la otra persona se sienta atendida por tí. Siempre le puedes echar la culpa al autocorrector, o a la ausencia de éste, o a tus dedotes, o a tus deditos. Nadie va a pensar que tu respuesta es descuidada y no te importó decir lo que dijiste porque, contestaste a tiempo ¿verdad?
También se encuentran las interacciones sociales que reflejan un mundo que no existe, y que quizá nunca ha existido. Empiezas con la cortesía perfecta. El saludo educado y el preguntar ¿cómo estás? Esperar hasta que te respondan. Continuar la conversación como si no hubieras pasado dos horas esperando. Intercambiar oraciones en el mejor estilo de ping-pong. Excepto que, a veces la realidad se impone y en tus ansias de ponerte a hacer otra cosa de repente la conversación se pone brusca y vas al grano. Y te contestan. Y se acabó. Sin siquiera despedirte.
O al revés. Están los que se despiden eternamente. Los que tienen que tener la última palabra. Cuando les dices "gracias", te contestán "a tí". A lo que sigue un "no, de ninguna manera", y luego un "en absoluto". Y te sientes obligado a seguir ese intercambio de flores gramaticales hasta que alguno de los dos se cansa y permite que el otro tenga la última palabra, media hora después.
¿Es tan malo que estemos cayendo en esto?
La verdad es que hay conversaciones por correo electrónico que parecen intercambio de chats. No tiene mucho sentido enviar un correo sólo para decir "entendido, gracias". Hay muchas ocasiones en que el chat es mejor.
El problema es, que el chat es efímero y no-estructurado. Los mensajes desaparecen. ¿Has tenido necesidad de buscar un e-mail de hace un año? ¿Podrías hacer lo mismo con un chat? ¿Podrías encontrar todas las conversaciones que tuviste conmigo sobre el tema X ó Y, sin mostrar los memes, los chismes de oficina, o los stickers de conejitos? Se vuelve una tarea titánica, y no dan ganas de hacerlo.
Todo esto hace que no le demos importancia a los mensajes instantáneos. Es como si inconscientemente dijéramos "si es importante, me lo dirá por mail". Pero ¿qué pasa si últimamente ya no volvemos a mencionar por e-mail el tema que tocamos por chat? ¿Qué pasa si confiamos totalmente en el chat y nunca respaldamos esas conversaciones por otros medios?
La mensajería instantánea es una herramienta útil, pero no puede ser pretexto para ser desordenados.
Una decisión tomada en una conversación por chat debe registrarse fuera de línea. Igual que lo harías después de una llamada telefónica. Un correo electrónico adecuadamente redactado cumpliría dicha función. Además, en el mundo pre-pandémico teníamos juntas presenciales y tomábamos notas. ¿Porqué dejar de hacerlo en nuestras juntas por videoconferencia o, en este caso, después de una conversación por chat?
Al terminar una conversación de mensajería instantánea, puedes anotar las ideas centrales en una libreta de notas. Puede ser una libreta electrónica. Los compromisos se pueden anotar en tu lista de "tareas pendientes", con fecha y responsable. ¡No dependas del chat para guardar todo!
Algo parecido debiste haber hecho con tu buzón de correo electrónico: tu buzón no es la lista de tus asuntos pendientes. En todo caso, es la lista de asuntos pendientes de todos los que te escribieron. Si aún no lo has hecho, aprende a lograr que tu lista de pendientes sea independiente de tu buzón (y tus chats).
Atrévete a tomar las riendas de esta nueva herramienta, así como lograste dominar todas las anteriores. ¡No dejes que el chat se convierta en un estorbo para tu trabajo!
10 Tips para mejorar la seguridad de tu Red Inalámbrica
Cuando aparecieron las redes WiFi, nos preocupaba mucho (y con justificada razón) la seguridad de las transmisiones en las redes inalámbricas. Actualmente ya no se habla mucho acerca de eso ¿significa que podemos dejar de preocuparnos?
La respuesta es: depende. Riesgos todavía existen, pero también ahora disponemos de tecnologías que nos protegen mejor, y con mayor facilidad. Vamos a examinar algunas de estas.
¿Qué riesgo existe?
Empecemos por decir que "la seguridad perfecta no existe". En el mundo de la seguridad informática, nuestra labor siempre consiste en evaluar el nivel de riesgo y mitigarlo hasta llevarlo a niveles aceptables; niveles que estemos dispuestos a asumir. Las redes inalámbricas no son la excepción. La señal WiFi se "escapa" de tu oficina, tu casa, tu escuela y llega a la casa/oficina/instalaciones del vecino, que podría estar interesado en hacer muchas cosas con tu red y tu información.
Robo de información, uso de nuestra red para actividades ilícitas, extorsión, robo de identidad, son algunas de las cosas que podría teóricamente hacer un intruso que tuviera acceso a nuestra red pero, vamos ¿qué tan probable es enfrentarse a eso?
Por otra parte, las redes WiFi nos dan una flexibilidad sin igual tanto para fines de trabajo como de entretenimiento. Hace algunos años cuando recibíamos visitas en la casa les ofrecíamos algo de beber. ¡Ahora les ofrecemos la contraseña del WiFi!
Entonces, no se trata de cancelar el uso del WiFi, sino de usarlo con las debidas precauciones.
¿Cómo protegernos?
En el mundo físico, así como en el mundo virtual, las medidas de protección deben ser acordes con el nivel de riesgo estimado y con el presupuesto para desplegarlas. Algunas tecnologías son demasiado costosas para instalarlas en la casa de cada empleado que hace Home Office, pero se justifican sin pensarlo mucho en una oficina. Otras tecnologías se han abaratado tanto que, no usarlas sería verdaderamente irresponsable.
Por otra parte, el concepto de "Defensa a Fondo" en seguridad informática significa que no debemos depender de un único mecanismo de protección, sino que debemos tener varios, por si alguno falla.
En consecuencia, las recomendaciones serán diferentes si estamos tratando de proteger una oficina, un auditorio, un hotel, un ciber-café o nuestra casa, pero un poco de sentido común puede ayudarnos a encontrar el nivel de protección apropiado, con un costo aceptable.
Recomendación #1 - Mejorar la Tecnología Inalámbrica
Existen múltiples tecnologías de protección incorporadas a los protocolos WiFi pero, ¿las estás usando? ¿Tal vez estás usando el mismo equipo de hace 10 años con lo que se consideraba la mejor protección... hace 10 años?
- WEP - Wired Equivalent Privacy. Desaconsejado. Es casi trivial romper la protección, haciendo una captura de tráfico.
- WPA - Wireless Protected Access. Desaconsejado. Durante un tiempo ofreció mejor protección que WEP, al rotar las llaves de encripción, pero fue rápidamente reemplazado por algo mejor: WPA2
- WPA2 - Incorporado al estándar 802.11I del IEEE. Es probablemente la tecnología más extendida actualmente (2021). Tiene dos modos de operación: "personal-PSK" y "enterprise". El algoritmo de encripción AES utilizado en ambos modos sigue siendo considerado muy robusto, pero el modo "personal" ya no. El modo personal es susceptible de ser atacado mediante tramas de control que provocan una des-asociación (desconexión) de los clientes inalámbricos para que el atacante capture los paquetes que se intercambian durante la re-asociación y pueda romper la protección por contraseña. PSK: pre-shared Key = contraseña compartida. Una vez que la conoce el atacante, ya no hay protección. El modo "enterprise" ofrece una protección mucho más robusta, que todavía no ha sido comprometida, pero requiere un servidor de autentificación (con un protocolo como RADIUS o TACACS+). El modo "enterprise" sigue considerándose seguro, pero el costo del servidor adicional provoca que probablemente sólo se justifique en ambientes de oficina.
- WPA3 - Apareció en el 2018, publicado por la "Alianza WiFi" (sin corresponderse con un estándar del IEEE). Ofrece la mejor seguridad posible, con los mismos dos modos de operación que WPA2: modo "personal" y modo "enterprise". WPA3 encripta las tramas de control, volviendo imposible los ataques que funcionaban con WPA2 en modo personal. El modo "enterprise" incrementa la seguridad en varios órdenes de magnitud.
¿La conclusión? Si tu tecnología inalámbrica no soporta WPA3, es hora de considerar renovarla. Esta es probablemente la mejor acción individual que puedes tomar. Sin embargo, toma en cuenta que pueden existir equipos "antiguos" que necesiten conectarse a la red WiFi (impresoras, equipos IoT, smartphones, etc.) pero que no soporten WPA3 y no puedan actualizarse al nuevo protocolo. Si bien es posible hacer coexistir WPA3 con WPA2, esto erosiona buena parte de la protección.
Recomendación #2 - Hacer autentificación de usuarios
Tecnologías como WPA2 y WPA3 en modo "enterprise" te permiten autentificar a los usuarios individuales, generando credenciales de acceso personales (usuario y contraseña). Esto siempre es mejor que tener una contraseña compartida como es el caso en el modo "personal" de dichas tecnologías. La fortaleza de la encripción inalámbrica mejora dramáticamente cuando cada usuario tiene una contraseña distinta.
También se puede tener una página web funcionando como "portal cautivo" para autentificar huéspedes, comensales o visitantes de un hotel, restaurante o empresa. ¡Defensa a fondo!
Recomendación #3 - Usar contraseñas robustas
Todos los sistemas de seguridad basados en autentificar usuarios por medio de contraseñas son susceptibles de ataques "de diccionario" o "por fuerza bruta" en donde un robot intenta probar contraseñas desde una lista de palabras, o combinaciones de caracteres o combinaciones de palabras. La única protección posible ante estos ataques es hacer más larga y más difícil de adivinar la clave, de manera que un ataque por fuerza bruta deba durar años (¡si! ¡años!) para tener éxito.
Contraseñas con más de 12 caracteres, con combinaciones de mayúsculas, minúsculas, números, signos de puntuación son las mejores... pero también son dificilísimas de recordar. Una aplicación de tipo "libreta de passwords" se vuelve necesaria para administrar dichas contraseñas.
¿Llegaremos alguna vez a un mundo sin contraseñas? Hay quien dice que sí, pero todavía estamos lejos de ese lugar, así que ¡a endurecer los passwords!
Recomendación #4 - Habilitar encripción en todas partes
Siempre debería ser preferible el uso de protocolos con encripción nativa: HTTPS en lugar de HTTP, SSH en lugar de Telnet, etc. En otras palabras, si vas a usar una red inalámbrica riesgosa, no transmitas información en "texto claro". Mejor aún, siempre usa encripción en tus comunicaciones, así como para proteger los archivos (cifrado) de tu laptop, tablet, smartphone, etc.
Recomendación #5 - Medidas de protección en la infraestructura
Si bien, su costo es alto, en redes corporativas puede justificarse más fácilmente la instalación de equipos con funcionalidades de protección avanzada. Equipos como IDS (Intrusion Detection Systems), Firewalls, etc. pueden mejorar enormemente la protección en la red. Funcionalidades como DHCP Snooping, Dynamic ARP Inspection, Port-Security en los switches LAN ponen controles automatizados que elevan la protección de la red. La buena noticia es que, salvo en las gamas más bajas de equipos de infraestructura, muchas de esas funcionalidades ya están disponibles en los equipos que tiene la red y sólo es cosa de saber cómo configurarlas.
Recomendación #6 - Aislar las redes inalámbricas
Si todas las medidas anteriores parecen insuficientes, tal vez estés manejando información crítica que no deba transmitirse en redes inalámbricas. Para no sacrificar la flexiilidad que te dan las tecnologías WiFi, una posible medida de protección podría ser instalar la red inalámbrica como una red completamente aislada, con acceso a Internet pero sin conexión directa a la red de la organización.
¿Suena como el nivel de protección de la red de un Cyber-café? Si. Pero es una red bajo tu control, en la que puedes hacer vigilancia. Es como estar conectado a Internet a través de una red pública, pero en la oficina. Puedes combinarla con restricciones sobre el tipo de información a la que tienen acceso los empleados que hacen Home Office. Mejor aún, ¡los usuarios de tu red no tendrán que salir de la oficina e irse a trabajar a un café internet! (esto llega a suceder, por absurdo que parezca).
Recomendación #7 - Hacer vigilancia proactiva en la red
Vigilar los dispositivos conectados, revisar las bitácoras, hacer detección de intrusiones, automatizar la generación de alertas ante discrepancias, todo esto debería ser parte de la administración cotidiana de la seguridad de la red. Esto aplica también a las redes no-inalámbricas. La vigilancia de la red debe formar parte de los procesos de seguridad informática.
Desgraciadamente, para organizaciones pequeñas este tipo de vigilancia puede resultar prohibitivamente caro. Contar con un Centro de Operaciones de Ciberseguridad (Security Operations Center - SOC), puede representar un costo alto frente al riesgo percibido. Sin embargo, las organizaciones crecen y llega un momento en el que el costo de los incidentes de seguridad supera con mucho al costo de las medidas de protección. ¡Hay que saber tomar la decisión a tiempo!
Recomendación #8 - Desconfiar de las redes abiertas
¿Quién desprecia un regalo? Si en el centro comercial, en el restaurante, en el metro, en el parque te dan acceso WiFi gratuito ¿porqué no usarlo? De acuerdo, úsalo, pero con precaución. Toma en cuenta que probablemente estarás compartiendo datos personales con el proveedor de servicio ¿qué destino tendrán tus datos? ¿Quién los maneja? ¿Cómo se protegen?
Por otra parte, las redes abiertas usualmente no implementan encripción, para facilitar la conexión y el uso de las mismas. Entonces: ¡haz tu propia encripción! Sólo usa aplicaciones que transmitan sus datos en forma cifrada. No hagas uso de aplicaciones que manejen información sensible o confidencial cuando estés en esas redes. Por ejemplo: usar Google Maps en una red abierta probablemente sea una actividad de bajo riesgo y con altísimos beneficios. Usar tu aplicación de banca electrónica en una red abierta probablemente sea mala idea, por el tipo de información que manejarías. Mejor espérate a llegar a casa. Mejor aún: en esos casos puedes usar el servicio de datos móviles de tu smartphone, que es más difícil de interceptar que tu conexión WiFi.
Recomendación #9 - Usar un servicio VPN de confianza
Un servicio VPN (Virtual Private Network) establecerá una conexión cifrada entre tu laptop/tablet/smartphone y un equipo "terminador". El terminador VPN más confiable es probablemente el de tu compañía, cuando tu empresa decide instalar un Firewall con esas capacidades para recibir las conexiones de los usuarios móviles o remotos (Home Office).
Usar un proveedor comercial de servicios VPN puede parecer buena idea, y de hecho protegería tus comunicaciones en la zona inalámbrica. Sin embargo, una vez que tus paquetes de datos llegan al "terminador" de la conexión VPN, que puede estar en otro país, tus datos se desencriptan y se envían a Internet. ¿Podría el proveedor de servicio estar espiando tus comunicaciones? ¿Podría un atacante introducirse a la infraestructura del proveedor y ponerse a espiar tus comunicaciones? Toma en cuenta que si el servicio VPN comercial es de bajo costo, su seguridad probablemente también lo será.
Recomendación #10 y Conclusión - ¡Usar el sentido común!
Finalmente, podemos decir que muchos riesgos pueden minimizarse con el simple uso del sentido común. Debemos acostumbrarnos a re-examinar con ojo crítico lo que hacemos en las redes inalámbricas y actuar en consecuencia.
Desconfiar de las redes abiertas, mantener actualizada la tecnología, reaccionar ante las advertencias que puedan surgir, usar defensa a fondo son comportamientos y actitudes que pueden mejorar enormemente nuestra protección.
Ninguna tecnología puede darte protección perfecta, no importa lo que digan los fabricantes.
"La seguridad está en la manera de hacer las cosas" (Marco González).
Suscribirse a:
Entradas (Atom)