Base de conocimientos
Tecnologías informáticas
Seguridad informática
Recomendaciones

Recomendaciones

2024-01-31

Generales

Consejos generales para mejorar la seguridad y la protección de datos.

  1. Siempre, utilice un software antivirus actualizado en todos los dispositivos.
  2. Siempre, utilice las versiones más actualizadas del software (en los dispositivos cliente y en los servidores). Por ejemplo, la versión actual de PHP a finales de 2023 es la 8.3.
  3. Siempre, utilice contraseñas seguras. Genera contraseñas seguras utilizando herramientas especializadas (e.g., KeePassXC ↗ o PwGen ↗). Las contraseñas deben tener al menos 36 caracteres y una entropía de al menos 220 (preferiblemente más de 250).
  4. No utilice la misma contraseña para más de 1 servicio.
  5. No almacene contraseñas en su computadora. Es mejor almacenarlo en un soporte externo (al menos 2 copias).
  6. Utilice siempre el Firewall con las máximas restricciones en todos los dispositivos y especialmente en los servidores.
  7. En todos los casos en los que un servicio o sitio web permite el uso de la autenticación de factores múltiples, es necesario utilizarla. La autenticación de factores múltiples más fuerte es la llave de seguridad de hardware. Autenticación menos robusta, pero aceptable, mediante aplicaciones de autenticación (Microsoft Authenticator o Google Authenticator). No es seguro utilizar el correo electrónico o SMS para estos fines.
  8. En todos los servicios y en todos los sitios que admiten roles y derechos de usuario, siempre otorgue solo los derechos mínimos necesarios, así como minimice el número de usuarios que tienen derechos privilegiados. Para estos usuarios, si es técnicamente posible, utilice una llave de seguridad de hardware.
  9. Minimice el uso de redes sociales que proporcionen datos sobre sus usuarios a terceros o utilicen estos datos para otros fines sin la posibilidad de que el usuario opte por no participar.
  10. No utilice palabras como nombre de usuario o login. Utilice caracteres aleatorios.
  11. Para los servicios que admiten llaves de seguridad de hardware, utilice dichas llaves (e.g., llaves YubiKey). En particular, cuando se trabaja con sistemas de pago, el uso de estas llaves es extremadamente necesario.
  12. Para transferir archivos, siempre, utilice que sea posible el protocolo SFTP. Si el protocolo SFTP no está soportado, es aceptable utilizar FTPS.

Correo electrónico

Consejos para mejorar la seguridad de uso de correo electrónico.

  1. Utilice la funcionalidad AntiSpam en los servicios de correo electrónico y los clientes de correo electrónico.
  2. No seguir enlaces a entidades financieras desde correos electrónicos. Siempre, utilice los enlaces guardados inicialmente.

Navegación en internet

Consejos para mejorar su protección mientras navega por internet.

  1. Cuando navegue por internet, siempre utilice solo una conexión segura https con un certificado válido. Configure sus servidores y sitios web para prohibir el uso del protocolo inseguro http.
  2. Para buscar información en Internet, utilice servicios de búsqueda que respeten al máximo la privacidad del usuario (e.g., DuckDuckGo ↗).
  3. Cuando navegue por internet, utilice navegadores lo más privados posible (e.g., Brave, Firefox o Vivaldi).
  4. Cuando navegue por Internet, utilice bloqueadores de anuncios y bloqueadores de rastreadores en los navegadores.
  5. Utilice DNS con la máxima privacidad y seguridad en todos los dispositivos cliente (e.g., Quad9 ↗)

Encriptación

Consejos para proteger los datos privados.

  1. Cifre la correspondencia por correo electrónico, así como los archivos de almacenamiento que contienen datos confidenciales. Usar OpenPGP para el cifrado (e.g., GPG4Win ↗ o GPGTools ↗).
  2. Si usan almacenamiento público (como OneDrive o Google Drive), almacene sus archivos de forma cifrada. Para el cifrado y descifrado en tiempo real, puede, e.g., utilizar Cryptomator ↗.
  3. Si no es posible utilizar OpenPGP al intercambiar datos confidenciales (nombres de usuario, contraseñas, números de documentos, números de teléfono, direcciones, etc.), utilice servicios de cifrado con una lectura única, fecha de caducidad y contraseña (e.g., PrivateBin ↗). Envíe el enlace generado al destinatario en formato de código QR para excluir las vistas previas automáticas por parte de los servicios de mensajería.
  4. Nunca almacene una llave OpenPGP en el mismo medio que la información que está encriptada con esta llave.
  5. Para el cifrado simétrico, utilice al menos AES-256-CBC, para no simétrico, es Argon2id.

Servidores

Consejos para proteger los servidores.

  1. Utilice siempre el limitador de solicitudes (e.g., fail2ban) en servidores y sitios web.
  2. Si el servidor o el sitio lo permiten, establece que los usuarios con derechos administrativos puedan iniciar sesión solo desde una dirección IP dedicada. Si no tiene una dirección IP dedicada, puede utilizar servicios de terceros (e.g., PureVPN ↗).
  3. En los servidores, prohíba el inicio de sesión SSH con una contraseña. Solo permite el inicio de sesión con llave SSH.
  4. En todas las páginas de sitios web que tengan un formulario de entrada de datos, utilice siempre un captcha de servicios que respeten la privacidad del usuario tanto como sea posible.
  5. No utilice cookies de terceros en los sitios web.
  6. Las librerías necesarias para el funcionamiento de los sitios deben colocarse en el mismo servidor que el propio sitio.
  7. Para sus proyectos, evite el uso de plataformas y frameworks web vulnerables.
  8. Si no es posible evitar el uso de plataformas vulnerables para conectar al usuario con el propietario del sitio web, utilice un servicio de terceros (e.g., Microsoft Forms o Google Forms) como formulario de contacto.
  9. Utilice servicios de protección adicionales para sitios web (e.g., Cloudflare ↗). En particular, para utilizar dichos servicios como proxy entre los visitantes del sitio y el sitio. Si es posible, debe utilizar el modo de proxy más seguro, así como utilizar funciones como DNS, Zero Trust y WAF (para bloquear entradas de países de deseados; así como para bloquear direcciones IP específicas (e.g., Spamhaus DROP ↗), que intenten llevar a cabo ataques de fuerza bruta).
  10. Utilice el gestor de credenciales en lugar del archivo .env y las variables de entorno.

Conservación de Datos

Consejos para conservación de datos.

  1. Siempre haga copias de seguridad periódicas de todos los datos importantes. Almacene una instancia de la copia de seguridad en forma cifrada utilizando OpenPGP en el almacenamiento en línea, y la segunda instancia fuera de línea (e.g., en un disco duro externo).
  2. Los datos confidenciales obsoletos (e.g., información sobre compras en WooCommerce que tienen varios meses de antigüedad) deben transferirse al almacenamiento fuera de línea y eliminarse del sitio.
  3. Dado que los repositorios públicos (e.g., OneDrive o Google Drive) realizan el análisis antivirus de los archivos solo a un nivel básico y solo en algunos planes, siempre suponga, que los archivos de dichos repositorios pueden contener código malicioso. En este sentido, antes de abrir estos archivos, realice un análisis antivirus en el dispositivo del cliente.
  4. Para la facturación electrónica, utilice un proveedor o sistema que cumpla con la normativa de protección de datos. En particular, el proveedor no debe permitir una conexión a través del protocolo inseguro HTTP, y no debe proporcionar acceso público a los documentos de sus usuarios (esto se puede verificar abriendo el archivo de cualquier documento electrónico en el sitio web del proveedor, copiando el enlace de este documento y abriendo este enlace desde otro navegador en el que no haya iniciado sesión en el sistema del proveedor).
Privatebin