Seguimos con la serie de artículos sobre «Ciberseguridad orientada a empresa», una colección de herramientas de software libre y consejos que nos ayuden a mejorar la ciberseguridad de nuestra empresa.

En la primera entrega sobre ciberseguridad, hicimos una pequeña introducción a este tema y hablamos en profundidad sobre la gestión de las contraseñas, recomendando varios gestores de contraseñas de software libre que nos gustan especialmente.

En este segundo artículo, hablaremos de los sistemas de doble factor de autenticación (2FA) y de las copias de seguridad, y su importancia frente a una catástrofe digital.

Doble factor de autenticación (2FA)

Todo el mundo está familiarizado con el método de usuario/contraseña para acceder a muchos servicios online, pero no es el más seguro posible.

La autenticación o verificación en dos pasos (abreviado como 2FA) es un sistema que agrega un nivel adicional de seguridad al proceso de acceso a las cuentas en línea. El usuario tiene que identificarse de 2 maneras diferentes: requiere de un código obtenido a partir de una aplicación o de un token USB, o de una tarjeta de coordenadas, o de un mensaje SMS, o de una huella (también valdría el iris, la voz o el rostro del usuario), además de una contraseña para acceder al servicio.

De esta forma, la verificación unívoca de tu identidad está vinculada a que el usuario tiene que «saber algo» (nombre del usuario y contraseña), además de «tener algo» (código obtenido de una aplicación, mensaje…) o «ser algo» (datos biométricos).

Los sistemas de doble factor son más recomendables que usar solamente las contraseñas, pero no son infalibles (pero los atacantes tendrán que trabajar mucho más para poder vulnerar el sistema).

Por desgracia, no todos los servicios admiten el 2FA. TwoFactorAuth es una web donde verificar si un servicio admite el segundo factor de autenticación.

Uso de la doble autenticación

Formas de usar 2FA:
– A través de un SMS, la opción menos segura.
– A través de aplicaciones dedicadas o hardware, que generan un código de verificación válido durante unos segundos. Combina facilidad y seguridad. Podemos usarlo en el smartphone con una aplicación de autenticación dedicada o a través de llaves de seguridad.

Existe un estándar abierto llamado OATH que es el utilizado por tokens basados en hardware o en software. Los tokens basados en hardware son como una tarjeta con un display, generan una clave para cada ocasión.

También hay tokens basados en software que generan contraseñas de un solo uso OTP como los que utilizan una app en el móvil o una aplicación en el ordenador.

Algunas de estas aplicaciones y app’s son:

andOTP (app de software libre para Android)
FreeOTP (app de software libre para Android e iOS)
Authenticator (plugin de software libre para usar en los navegadores Firefox o Chrome)

La alianza FIDO especificó un protocolo estándar U2F abierto, escalable e interoperable para que los servicios en línea puedan incorporar un segundo factor, utilizando criptografía de clave pública, un token, un dispositivo confiable o llave de seguridad de autenticación física que se conecta vía USB o NFC.

Copias de seguridad

Tenemos que estar preparados de cara a una catástrofe digital (virus, descuidos, fallos de discos duros, incendios, inundaciones, cifrados no deseados…) donde podemos perder datos importantes de la empresa. Una buena política de seguridad pasa por contar con una o varias copias de seguridad de nuestros datos.

Las copias de seguridad deben hacerse con regularidad y almacenarlas en dispositivos distintos a aquel en el que se encuentra la información original. Para reducir el espacio ocupado por las copias de seguridad se pueden comprimir los datos.

Tipos de copias de seguridad:
– Backup completo. Se hace una copia completa de toda la información. Es el más sencillo pero también el menos eficiente.
– Backup incremental/diferencial. Se trata de copiar únicamente aquellos datos que fueron modificados respecto al backup anterior, ahorrando una importante cantidad de espacio.

Algunas soluciones libres para las copias de seguridad:

Grsync, interfaz gráfica para rsync, herramienta de software libre para la copia de seguridad diferencial y de sincronización de archivos, multiplataforma. Rsync es una herramienta muy conocida para las copias de seguridad en sistemas GNU/Linux, que suple las necesidades de copiar un grupo de archivos y carpetas.
BackupPC, software libre de copia de seguridad de disco a disco con un frontend basado en la web. El servidor multiplataforma funciona en cualquier servidor basado en GNU/Linux, Solaris o UNIX. No es necesario ningún cliente, ya que el servidor es en sí mismo un cliente para varios protocolos que son manejados por otros servicios nativos del sistema operativo del cliente. BackupPC incorpora un cliente de bloque de mensajes de servidor (SMB) que puede utilizarse para realizar copias de seguridad de recursos compartidos en red de ordenadores con Windows. Soporta NFS, SSH, SMB y rsync.
Bacula, sistema de copia de seguridad informática de software libre para redes heterogéneas. Diseñado para automatizar las tareas de copia de seguridad que a menudo requerían la intervención de un administrador de sistemas o un operador informático. Bacula es compatible con clientes de copia de seguridad de GNU/Linux, Windows y macOS, y con una serie de dispositivos de copia de seguridad profesionales, incluidas las bibliotecas de cintas.
FreeFileSync, programa de software libre utilizado para la sincronización de archivos. Disponible en Windows, GNU/Linux y OS X. El proyecto está apoyado por donaciones. Soporta sistemas de archivos locales y recursos compartidos de red, es capaz de sincronizarse con dispositivos FTP, FTPS, SFTP y MTP.

Como veis, es recomendable contar con buenas políticas de autenticación de los usuarios y copias de seguridad, dentro de nuestra estrategia de seguridad informática empresarial.

Esperamos que esta colección de herramientas de software libre y consejos os ayuden a mejorar la ciberseguridade en vuestra empresa.

Recordad que para complementar esta serie de artículos, publicaremos dentro de unas semanas una serie de podcast sobre ciberseguridade, donde entrevistaremos a especialistas de la materia. Esperamos que os gusten.

Pin It on Pinterest

Share This