1. IPaudita
Auditores ONLINE en
seguridad informática
Consejos básicos a tener en cuenta en
la seguridad informática
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
2. Conceptos generales
Utiliza contraseñas con al menos 8 caracteres.
Utiliza contraseñas complejas que incluyen números, símbolos y signos de puntuación.
Usa diferentes contraseñas para diferentes cuentas o roles.
Prueba las contraseñas en una herramienta de contraseñas seguras.
No utilices palabras de diccionario como contraseñas, por ejemplo, “libreta”.
No repitas secuencias de caracteres, por ejemplo, 3333, abcdabcd.
No utilices información personal en las contraseñas, por ejemplo, tu fecha de nacimiento.
No guardes las contraseñas en equipos portátiles, smartphones o tabletas, que pueden perderse.
Utiliza un gestor de contraseñas para poder controlar todas tus contraseñas.
Establece una autenticación de dos factores cuando sea posible.
Utiliza un generador de contraseñas seguras.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
3. Comunicaciones seguras
Usa Secure FTP en lugar de FTP normal.
Utiliza SSH en lugar de telnet.
Utiliza conexiones de correo electrónico seguro (POP3S/IMAPS/SMTPS)
Asegura todas las áreas de administración de web con SSL (HTTPS).
Asegura tus formularios web con SSL (HTTPS).
Utiliza VPN cuando esté disponible.
Utiliza firewalls en todas las terminales, incluyendo servidores y ordenadores personales.
Utilizar sistemas de cortafuegos/IPS.
Encripta los mensajes de correo electrónico muy sensibles.
No utilices computadoras públicas para acceder a información sensible.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
4. Seguridad de aplicaciones web (I)
Regístrate para recibir avisos acerca de actualizaciones de la aplicación web.
Actualiza rápidamente tus aplicaciones web.
Analiza las aplicaciones web mediante herramientas de seguridad como Nessus.
Utiliza un firewall de aplicaciones web.
Comprueba los campos de subida de a chivos para verificar que ficheros con código no
puedan ser cargados.
Utiliza frameworks de programación con un buen historial de seguridad.
Asegura las áreas de administración de las aplicaciones web con restricciones basadas en IP.
Sanea las entradas de datos de los usuarios.
Colocar los archivos sensibles fuera del documento raíz o restringir el acceso.
Evitar el uso de comandos de shell en scripts.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
5. Seguridad de aplicaciones web (II)
No confíes en campos HTTP Referrer ya que son fácilmente manipulables.
Utiliza POST en vez de GET para enviar datos, de ese modo información confidencial no está
en la dirección URL.
Valida los datos en el lado del servidor y no sólo en el lado del cliente.
No confíes en nombres de archivo y rutas de acceso realtivas. Establece siempre directorios
base<./li>
Especifica permisos a la hora de crear archivos.
Limita la carga de archivos.
Crear mensajes de error seguros por no divulgar información sensible en dichos errores.
Ten cuidado con los datos que facilitas a las cookies; pueden ser manipuladas.
Encripta los ficheros de configuración que contienen login sensibles
Protégete contra los ataques DOS a nivel de aplicación mediante la limitación de la longitud de
entrada de los campos.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
6. Seguridad de aplicaciones web (III)
Si es posible desactiva fopen.
Activar el modo seguro, incluye directorios y abre restricciones base si es posible.
Deshabilita las funciones PHP peligrosas si es posible.
Ten cuidado de nombrar archivos *.bak, *.txt o *.inc dentro de la raíz del documento web.
Ten cuidado al utilizar herramientas de control de versiones en la raíz del documento web.
Usa sistemas de control de versiones.
Utiliza un sistema de “bug tracking” y cambia los log de sistema.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
7. Seguridad de servidor (I)
Actualiza el sistema operativo regularmente -sobre todo con las actualizaciones críticas.
Actualiza regularmente el panel de control.
Reduce la información que se muestra acerca del servidor, por ejemplo, cambiando la directiva
ServerTokens de Apache.erverTokens delimita qué información muestra el servidor sobre los
componentes que está ejecutando.
No instales software que no se va a utilizar.
No almacenes backups o versiones antiguas de software en el entorno de producción.
Restringe el acceso a directorios con los permisos adecuados.
Asegúrate de que los logs están funcionando correctamente.
Asegúrate de registrar todos los accesos al entorno de administración con fecha, hora y nombre
de usuario.
Asegúrese de usar un firewall.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
8. Seguridad de servidor (II)
Elimina las cuentas predeterminadas de MySQL.
Desactiva el inicio de sesión de raíz directa en SSH.
Deshazte de las contraseñas con SSH keys.
Deshabilita servicios no utilizados.
Mantén copias de seguridad.
Prueba las copias de seguridad.
No desarrolles en entornos de producción.
Mantente actualizado con las suscripciones a servicios de notificación de seguridad.
Monitoriza el tráfico web para encontrar actividad inusual.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática
9. Seguridad de servidor (III)
Realiza análisis de seguridad regulares, de forma remota.
Realiza análisis de seguridad regulares, de forma local.
Endurece la configuración predeterminada de Apache, SSH y otros servicios.
Usa la cuenta root sólo cuando sea necesario.
Utiliza sudo para conceder otros acceso a nivel de la raíz.
Habilita SELinux si es posible.
Utiliza redes privadas para el tráfico interno del servidor.
Utiliza el cifrado cuando sea necesario.
Realiza auditorías de contraseñas.
Exige contraseñas seguras.
www.ipaudita.com IPaudita – auditores ONLINE en seguridad informática