Entradas

Password cambio vida infordisa

A continuación os presentamos un artículo muy interesante publicado por Mauricio Estrella, que narra el poder que supone una buena contraseña para nuestras vidas, ya no sólo a nivel de seguridad, sino también a nivel personal. Esperamos que os resulte útil.

Como un password cambió mi vida

Escrito por Mauricio Estrella

«Cómo me ha podido hacer algo así?» decía una voz dentro de mi cabeza. Constantemente. Cada día.

En 2011, cuando todo tenía degradados, los iconos de iOS tenían sentido, y la gente utilizaba desodorantes, yo quedé inmerso en una depresión a causa de mi divorcio.

Afortunadamente, creo que fui suficientemente listo (y tuve gente genial alrededor mío) que me permitió estar siempre estable.

Un día entraba de nuevo en la oficina, y el día comenzó delante de la pantalla del ordenador. Todo iba bien hasta que leí el siguiente mensaje:

Tu contraseña ha caducado. Pulsa «Cambiar la contraseña» para actualizarla.

No, mierda! Pensaba que pulsar «Cambiar la contraseña» haría otra cosa.

Leí el estúpido mensaje mentalmente con voz de abuelo enfadado: El jodido password ha caducado.

En mi oficina, el servidor Microsoft Exchange está configurado para pedir a miles de usuarios en todo el planeta, que cambien su contraseña. Cada 30 días.

Aquí viene la parte buena: El servidor te obliga a utilizar como mínimo una MAYÚSCULA, una minúscula, un símbolo y un número. Ah, y todo esto, no puede ser más corto que 8 caracteres. Y por si fuera poco, no puedo usar ninguna de las contraseñas que he utilizado en los últimos 3 meses.

Esa mañana estaba furioso. Martes a las 09:40 de la mañana. Hacía tanto calor que ya estaba sudando sólo de llegar a la oficina. Hacía tarde. Aunque llevaba el casco puesto. Creo que olvidé desayuno. Algo sabía a cigarrillo en mi boca. Necesitaba dejar todo listo antes de la reunión de las 10, y delante de mí, tenía esa enorme pérdida de tiempo.

Así que allí estaba … Aquel campo de texto con el cursor parpadea, esperando que yo escribiera la contraseña que debería reescribir durante siguientes 30 días. Muchas veces a lo largo del día.

Entonces desprenderme de la frustración, y recordé un truco que había oído de mi cabeza. De alguna manera él combinó listas de tareas con contraseñas, y pensé utilizar una versión mejorada de aquello.

Utilizaré una contraseña para cambiar mi vida.

Era obvio que no podía concentrarse en trabajar con mi ritmo de vida y estado de ánimo. Por supuesto, había claros indicadores de lo que necesitaba hacer o de objetivos a alcanzar, con el fin de controlar mi vida, pero a menudo no prestamos suficiente atención a estas señales.

Mi contraseña se convirtió en un indicador. Me recordaba que no debía dejar ser víctima de mi reciente ruptura, y que soy suficientemente fuerte para hacer algo al respecto.

Mi nuevo password fue: «Forgive@h3r» (En inglés: «Perdonala»)

Durante la reunión posterior, no podía parar de pensar en lo que acababa de hacer. Algo me dibujó una sonrisa en la cara.

Durante el resto de la semana, tuve que escribir la contraseña varias veces al día. Cada vez que se bloqueaba el ordenador. Cada vez que el protector de pantalla me enseñaba su foto. Cada vez que volvía de comer solo.

En mi cabeza, iba con el mantra que no había escrito un password, sino que me recordaba mentalmente que la debía perdonar.

Esa simple acción, cambió la forma en que miraba a mi ex mujer. Aquel recordatorio constante que debía perdonar, me permitió aceptar las cosas tal como eran y como acabaron con mi matrimonio, y me permitieron afrontar la depresión en la que estaba quedando inmerso.

Durante los días siguientes, mi humor mejoró drásticamente. A finales de la segunda semana, me di cuenta como la contraseña había perdido potencia, y empezaba a perder efecto. Una pequeña actualización del «mantra» me ayudó. Pensé que la perdonaba mientras iba escribiéndolo cada vez. El efecto sanador surgió casi inmediatamente.

Un mes después, el amado Exchange Server me preguntó de nuevo que renovara la contraseña. Entonces me pregunté cuál era la siguiente cosa que tenía que hacer.

La nueva contraseña fue: «Quit@smoking4ever» (En inglés: «Deja de fumar para siempre»)

Y ya podéis intuir que pasó. Dejé de fumar de un día para otro. Hay muchos testigos que aún no puede creer que lo hubiera hecho. Había probado libros, cigarrillos electrónicos, parches, etc Nada había funcionado, pero este truco funcionó.

Esta contraseña era de las difíciles de escribir a lo largo del mes, pero hacerlo me ayudó a pedirme a gritos a mí mismo que lo consiguiera. Me motivó a conseguir mi objetivo.

Un mes mas tarde, la contraseña era: «Save4trip@thailand» (En inglés: «Ahorra para un viaje a Tailandia»)

Adivina donde fui 3 meses después. Tailandia. Con ahorros.

Ver como estos recordatorios me ayudaban a materializar mis objetivos, me hizo estar motivado y excitado. Admito que es difícil preparar el próximo objetivo. Algunas veces es difícil identificar que necesitas cambiar, o hacia donde necesitas avanzar.

A mí me ha funcionado, y seguro que a ti también.

[…]

Si quieres leer el artículo completo de Mauricio Estrella en inglés, puedes hacerlo aquí.

6 vulnerabilidades exchange

Muy a menudo, los administradores de sistemas, tratan el Microsoft Exchange como un servidor clásico (sin demasiados esfuerzos en asegurarlo). Sólo hay que pensar como dependemos todos del correo electrónico durante el día a día para ver que hay que prestar atención, y mantener su estabilidad día a día. A continuación se detallan las vulnerabilidades más comunes a la hora de asegurar Microsoft Exchange, aconsejamos controlar cada punto:

Lagunas en el proceso de actualización

A menudo nos encontramos con servidores de Exchange que han quedado obsoletos o les faltan Service Packs, incluso algunos que no se han protegido en 10 años. En casos como estos, las probabilidades de ataques maliciosos son altísimas y pueden provocar intrusos provenientes de la misma red física. Es entonces que corremos el riesgo de perder el control del sistema Exchange a nivel administrativo, haciendo que los atacantes puedan borrar datos, añadir cuentas de susuari, copiar información y otras actividades peligrosas.

Lo peor de todo es que no es fácil ser consciente de que estas actividades se están llevando a cabo, y requiere esfuerzo y conocimientos para detectar possbiles intrusiones.

Contraseñas débiles

Las contraseñas débiles, son desgraciadamente, un paso de seguridad fácilmente evitable, y no cuesta nada generar contraseñas complejas. Sin embargo, todavía existen muchas contraseñas insuficientes en muchos entornos de Exchange, que apoyan toda su seguridad en un administrador con un contraseña débil. Esto puede provocar que con unos simple pasos, un atacante pueda conseguir todos nuestros datos.

En servidores con Outlook Web Access, es muy común utilizar estos tipos de contraseñas inseguras, lo que deja una puerta abierta a Internet, para cualquiera con malas intenciones. Sólo con el acceso a una sola cuenta de correo, el hacker puede hacerse con las otras buzones de la empresa. Es por ello, que recomendamos a todos que revisen y hagan más complejas sus passwords de correo.

Dejar datos privados a carpetas públicas

Las carpetas públicas demasiado a menudo sirven para guardar información con la intención de compartirla con los compañeros de trabajo, y con ello, hacemos vulnerable la información a compartir. Es por ello que hay que ser consciente de la información a compartir, y controlar aquella que queda temporalmente desprotegida.

Acceso SMTP y POP3

Muchos servidores Exchange tienen SMTO y POP3 habilitado, lo cual no es necesariamente malo. Pero puede ser un problema si SMTP o POP3 se transmiten sin una capa de SSL / TLS. Es importante utilizar los puertos seguros SMTP (465) y POP3S (995) con el objetivo de que los correos y las credenciales de acceso se envíen con seguridad a través de redes inalámbricas por ejemplo.

Outlook Web Access y Outlook Web App

El servicio OWA es realmente práctico y necesario para cualquiera, pero no podemos dejarlo abandonado ya que tiene sus riesgos. Muchas veces nos encontramos con servidores OWA que funcionan sin certificados SSL, y esto puede provocar los mismos problemas que con el acceso SMTP y POP3 sin seguridad. Otra agujero de seguridad común con OWA es que los usuarios no se ven obligados a cerrar la sesión de su cuenta OWA y pueden dejar la cuenta conectada durante largos ratos, haciendo que sea fácil acceder a la cuenta en cuestión.

Cuentas de administrador Exchange compartidos

És importante saber en todo momento qué usuarios tienen derechos de administrador, ya que en situaciones críticas, estos accesos se pueden utilizar de formas destructivas. Muchas veces quedan usuarios administradores activos después procesos de cambio de personal, y estas cuentas caen en el olvido pero aún con posibilidades de administrar el sistema.

Recomendamos encarecidamente el control de estas instalaciones por parte de profesionales, ya que aunque no seamos conscientes, el correo electrónico es uno de los principales motores de la empresa, y en momentos de caída del servicio, se demuestra que la dependencia que tenemos, es más elevada de lo que creemos.

Sin embargo, existen otros servicios desatendidos y por suscripción, que permiten desligarse de las tareas de mantenimiento de la instalación, gracias a una contratación por cuenta de usuario y con todas las coberturas incluidas. Este tipo de servicio es el email corporativo, un servicio de correo equivalente a Microsoft Exchange, compatible con todos los dispositivos y sistemas operativos, que facilita la gestión informática y en sincroniza toda la información en la nube.