Seguridad en las redes

Algunos de vosotros han expresado en este foro algunas inquietudes relacionadas con posibles accesos no autorizados a vuestras redes Ning. Por eso he pensado que sería oportuno repasar algunos conceptos sobre seguridad y aportar algunas recomendaciones lo bastante razonables como para quedarnos tranquilos y bien informados. Eso sí, sin bajar nunca la guardia…

Se me ocurren 2 aspectos a tratar: contraseñas y privilegios. Pero tal vez queráis añadir en esta discusión otros más que merezcan ser tenidos en cuenta.

 

Contraseñas seguras Vs. contraseñas débiles

Me consta que aún hay Creadores que, para el acceso a su red o sus cuentas de email, utilizan contraseñas “débiles”, esto es, contraseñas que son fáciles de deducir por cualquiera que se lo proponga.

Para empezar, existen programas que se encargan de probar una por una todas las contraseñas posibles, por la fuerza bruta, y tienen bastante éxito con las contraseñas cortas y las que incluyen términos conocidos.

Algunas veces, es suficiente con que las personas malintencionadas conozcan un poco al Creador para intentar descubrir qué dirección email está utilizando como nombre de usuario y, como no, la contraseña. En otras ocasiones recurren a ingeniería social como uno de los métodos más usados: mediante cierta información personal publicada como un miembro más en su perfil (o en otros sitios), se extraen datos que pudieren ser útiles para adivinar las posibles contraseñas; si no lo terminan deduciendo a través de simples conversaciones con la posible víctima en los foros.

Con relación a este punto, yo siempre he sugerido la utilización de 2 cuentas de acceso a nuestras redes Ning: Una cuenta corporativa, la de Creador, y otra, como un miembro más, con la que participaremos en nuestra propia red, aportando contenidos e interactuando con los demás miembros. Además, esta última nos servirá como cuenta de control para monitorizar la difusión de mensajes. Pero en cuanto a la primera, la de Creador, no tiene por qué hacer público los datos de perfil.

Aún así, a la hora de escoger una contraseña para cualquiera de las cuentas de acceso que tengamos, conviene no utilizar nombres ya sea del propio, de la novia/o, de los hijos o incluso de la mascota. Algunos Creadores se muestran públicamente con una foto de perfil con su mascota preferida, por lo que resulta fácil deducir que, de alguna manera, le habrá hecho algún reconocimiento teniéndola en cuenta en sus contraseñas.

Tampoco conviene utilizar la combinación de nombres con fecha de nacimiento, DNI, ciudad o calle donde vive uno o un simple número del 1 al 9.

La sustitución de letras por números es un patrón ya conocido por mucha gente malintencionada.

Y por favor, no acabemos siendo tan simples o vagos como para utilizar como contraseña el mismo nombre de usuario, o letras muy cercanas en el teclado: “qwerty”, “qwe123”, “asdf”, “xxxxxx”, etc. Y mucho menos la palabra “contraseña” para la contraseña.

Aún así, de nada vale si tenemos especial cuidado con las contraseñas pero por otro lado la dirección de correo, que usamos como nombre de usuario, corresponde a un buzón de empresa o a un proveedor de correo email que suele desactivar las cuentas que no se usan durante un tiempo. Estamos hablando de buzones con alta probabilidad de que no nos acompañen por mucho tiempo.

En este caso, el problema no es que, una vez que no dispongamos de ese buzón (porque hemos cambiado de empresa) o haya sido desactivado (por falta de uso), no podamos acceder a nuestra red Ning como Creador, ya que la plataforma no verifica la disponibilidad de ese buzón. Tampoco es un gran problema el hecho de que dicha dirección email pudiera quedar disponible para otro usuario. El problema sería más bien que no podríamos hacer ningún cambio de contraseña, dado que el proceso implica que atendamos los mensajes email que nos remite el sistema, precisamente al buzón email que figura como nombre de usuario.

El mismo cuidado debemos tener si hemos de hacer un cambio de dirección email en nuestro acceso como Creador. En este caso deberemos atender el mensaje del sistema que recepcionaremos en nuestro buzón email como parte del proceso, acceder con el nuevo nombre de usuario y de esta manera asegurarnos de que hemos completado del todo el proceso; entonces ya podemos dar de baja la anterior dirección email.

Visto todo esto, es chocante llegar a pensar que alguien pudiera haber cambiado nuestra contraseña si en realidad nunca ha podido tener acceso a nuestro buzón email. Si tenemos problemas para acceder, resultará más acertado pensar que se trata de un problema nuestro al introducir las claves, por lo que simplemente bastará con utilizar el servicio “¿Olvidaste tu contraseña?

 

Creador Vs Administrador

Otro especial cuidado que debemos tener es con relación a los privilegios que otorgamos a otras personas para que desempeñen tareas propias de administrador de nuestra red. Tal vez es que no tengamos claro qué puede hacer un administrador y que NO debería poder hacer. En realidad, estamos hablando simplemente de reconocer la diferencia que hay entre ser Creador  y ser Administrador.

Lamentablemente, algunos no han entendido bien este aspecto y por lo tanto su red, no es que haya quedado a merced de un hacker sino más bien de una persona malintencionada a la que se le ha dado excesiva confianza, “demasiados poderes”.

Veamos ese reparto de funciones o privilegios:

Creador -> TODO tipo de acceso a la red

Administrador -> Las mismas funciones del Creador excepto:
- Permisos para editar contenido (MI RED -> Contenido -> controles)
- Archivar el contenido de la red (MI RED -> Contenido -> Archivar)
- Configuración de la red (MI RED -> Configuración -> Detalles de la red)
- Acceso al texto “Términos de servicio” (MI RED -> Configuración -> Términos de servicio)
- Estado de la red: Conectada/Desconectada (MI RED -> Configuración -> Privacidad)
- Acceso a la configuración de ciertas aplicaciones (MI RED -> Configuración -> Aplicaciones)
- Bots de búsqueda (MI RED -> Herramientas -> Bots de búsqueda)
- Código personalizado (MI RED -> Herramientas -> Código personalizado)
- Herramientas webmaster de Google (MI RED -> Herramientas -> Herramientas webmaster de Google)
- Mapa del sitio (MI RED -> Herramientas -> Mapa del sitio)
- Asignación del dominio de la red (MI RED -> Herramientas -> Asignación del dominio)
- Extensiones Ning (MI RED -> Herramientas -> Extensiones Ning)
- API de Ning (MI RED -> Herramientas -> API de Ning)
- Cambios de suscripción de la red (MI RED -> Herramientas -> suscripción)

Como veis, se exceptúa el acceso a ciertas funciones “delicadas” y propias del que ha creado la red. El administrador, por su parte y con el nivel de privilegios que le corresponde, podrá cumplir perfectamente con las labores propias de mantenimiento y configuración limitada que precisa una red.

Aún así, es posible definir nuevas funciones de administración sobre los contenidos de la red, a un nivel más bajo que el de Administrador, lo que permite un grado más de restricción, muy apropiado sobre todo cuando colabora un buen número de administradores (MI RED -> Miembros -> Administración => “Gestionar funciones”)

Seamos responsables: En cuanto sea necesario un cambio de “alto nivel” en la configuración de la red, seremos nosotros y no el administrador, quien la debe llevar a cabo. Sólo asumiendo este principio de responsabilidad será posible que la red funcione segura y sin necesidad de generar suspicacias sobre la correcta labor de los administradores de nuestra red.

Aún así, no tenemos garantías de que un administrador, con privilegios de administrador, no pueda hacer algún “desastre” en nuestras redes, y máxime si se trata de una persona nada confiable. Por ejemplo, un administrador puede suspender a un miembro o borrarlo por completo. Si se borra el contenido de un miembro, no es posible recuperarlo. Lo mismo pasa con un grupo, una discusión o un evento. En esto, nosotros los Creadores tenemos mucho que ver…

 

Conclusiones

Por todo lo dicho, aunque no debemos ser muy rotundos en afirmar que no cabe ninguna posibilidad de que una de nuestras redes pueda sufrir el ataque de algún hacker, (en este aspecto tal vez Aarón, que conoce muy bien la plataforma, pueda añadir algo al respecto) haremos muy bien en revisar los aspectos de seguridad comentados aquí con el fin de alcanzar un grado de tranquilidad razonable.

Al fin al cabo, si comenzamos dudando de la seguridad de nuestra red ¿cómo vamos a poder trasmitir confianza a los miembros de nuestra red, que nos han confiado el depósito de sus datos privados?

Etiquetas: acceso, administrador, ataques, contraseñas, creador, hacker, seguridad

Vistas: 153

Respuestas a esta discusión

Vínculo permanente Respuesta de Roxana Santorelli el marzo 30, 2011 a las 7:01am
Muchisimas gracias Lorenzo! Como siempre, tu ayuda es providencial....=)
Vínculo permanente Respuesta de Aaron el marzo 30, 2011 a las 8:35am
Como ha comentado Lorenzo en esta discusión, la seguridad de tu red está en tus manos. Ning toma varias medidas en contra del spam y ataques contra la plataforma (como ataques DDOS o negación de servicio). Pero las amenazas más comunes a la seguridad de tu red son las que se ha dicho arriba: contraseñas débiles (en tu cuenta de email o la de creador/a) y administradores no confiables.

Cabe volver a decir que el papel de administrador tiene mucho poder en tu red. Tus administradores deben ser gente en que confías y conoces bien. Este cargo no debe ser un “premio” para miembros activos—hay muchas otras maneras de hacerlo. Si necesitas ayuda con la moderación de blogs, crea un papel que sólo puede moderar blogs. Lo mismo con vídeos o grupos. Piénsalo bien antes de elevar un miembro a administrador. He visto varios ejemplos de un administrador malintencionado que ha destruído una red completamente.

Si tienes una duda acerca de la seguridad de tu red, favor de preguntarnos aquí. Si se trata de algo que debe comunicarse en privado, favor de escoger la opción “Terms of Service” al enviarnos tu pregunta mediante el Centro de ayuda.

—Aarón
Vínculo permanente Respuesta de Alexander Molina el marzo 31, 2011 a las 8:21am

Saludos Aaron,

Como se : crea un papel que sólo puede moderar blogs.

 

GRACIAS

Vínculo permanente Respuesta de santiago reyes el abril 1, 2011 a las 4:55pm

Hola Alexander, para darle poderes de administracion a alguno de tus miembros en este caso moderacion de solo blogs. Debes ir a:

Administrar --- en la seccion de Miembros click en Administración-- despues click en Agregar una funcion--- Das algun nombre a la funcion, elijes las funciones luego guardas--- nuevamente regresas a Administración elijes algun miembro, arriva de la lista dira Establecer funcion elijes el nombre que le abias puesto a la funcion  y listo se guardara.

Para quitarle el poder de moderador solo bas ahi mismo en Administración pero donde dice administradores y elijes la la funcion de miembro. Espero sea lo que deceabas y que te aya servido.

 

Santiago.

 


Vínculo permanente Respuesta de Aaron el abril 1, 2011 a las 4:56pm

Desde Mi red > Miembros > Administración. Allí tienes que ir a Administradores > Gestionar Funciones y agregar una nueva función (papel) que sólo tiene acceso a los Blogs.

—Aarón

Vínculo permanente Respuesta de Lorenzo M. Oliver el abril 3, 2011 a las 12:42am
Exacto; a eso me refería con la posibilidad de definir nuevas funciones de administración sobre los contenidos de la red, a un nivel más bajo que el de Administrador, muy apropiado sobre todo para colaboradores que no tienen porqué llevar a cabo funciones de "administradores".
Vínculo permanente Respuesta de limadenoche el abril 3, 2011 a las 11:49pm
Buen tema para los creadores, aunque la contraseña de mi red es con puntos letras y numeros, pero este post ayuda a muchos a proteger sus redes sociales, gracias por el aporte.
Vínculo permanente Respuesta de xmem12 el septiembre 1, 2011 a las 9:26pm

ami me sale el caso de 

Upload access denied. Please make sure you are still logged in.

 cuando quiero cargar imajenes en diseño directamente -

ni en mi propio perfil me deja cargar 

pero a los demas administradores  si pueden  

porque me sale   ese   access denied ?

Vínculo permanente Respuesta de Aaron el septiembre 7, 2011 a las 11:15am

Hola xmem12,

Podría ser un problema de cookies. Limpia tus cookies e intenta de nuevo para ver si te permite cargar. También sería bueno intentar en otro navegador.

Saludos,
Aarón 

Vínculo permanente Respuesta de MARIA DE LOS ANGELES el septiembre 15, 2011 a las 3:49pm

perdon nec saber si interprete bien quiere decir q el administrador elegido tiene las mismas funciones q yo siendo la creadora????

Vínculo permanente Respuesta de Mod Arya el septiembre 17, 2011 a las 6:31am

Hola María de los Angeles! Con respecto a tu pregunta: No, el Administrador; si bien tiene un amplio abanico de funciones con respecto a la modificación, control y gestión de la red; no tiene acceso a TODAS las funciones que posee el Creador de la misma, aquí debajo hago copy-paste de la lista que mencionó Lorenzo (creador de ésta discusión) y que destacan las funciones que sí posee un Creador y que un Administrador no puede modificar: 

- Permisos para editar contenido (MI RED -> Contenido -> controles)
- Archivar el contenido de la red (MI RED -> Contenido -> Archivar)
- Configuración de la red (MI RED -> Configuración -> Detalles de la red)
- Acceso al texto “Términos de servicio” (MI RED -> Configuración -> Términos de servicio)
- Estado de la red: Conectada/Desconectada (MI RED -> Configuración -> Privacidad)
- Acceso a la configuración de ciertas aplicaciones (MI RED -> Configuración -> Aplicaciones)
- Bots de búsqueda (MI RED -> Herramientas -> Bots de búsqueda)
- Código personalizado (MI RED -> Herramientas -> Código personalizado)
- Herramientas webmaster de Google (MI RED -> Herramientas -> Herramientas webmaster de Google)
- Mapa del sitio (MI RED -> Herramientas -> Mapa del sitio)
- Asignación del dominio de la red (MI RED -> Herramientas -> Asignación del dominio)
- Extensiones Ning (MI RED -> Herramientas -> Extensiones Ning)
- API de Ning (MI RED -> Herramientas -> API de Ning)
- Cambios de suscripción de la red (MI RED -> Herramientas -> suscripción)

 

Espero te haya servido mi respuesta. Saludos!

RSS

Latest Activity

Alex replied to Alex's discussion 'More styling in the Design Studio'
"Thanks JFarrow!"
5 minutes ago
Alex replied to Alex's discussion 'More styling in the Design Studio'
"We don't plan on being like Skysa."
7 minutes ago

NC for HireJFarrow replied to Alex's discussion 'More styling in the Design Studio'
"nice work guys!"
9 minutes ago
Donna Mac replied to Donna Mac's discussion '3.0 Video - can someone explain?'
"How weird is that?   I don't quite understand that concept if only I can post what is on…"
56 minutes ago
Kos replied to Donna Mac's discussion '3.0 Video - can someone explain?'
"That's my understanding but let's see if others have an approach on how they're…"
58 minutes ago
Riccardo Rossini replied to Alex's discussion 'More styling in the Design Studio'
"An another thing about avatar: the image uploaded that aren't in square aspect ratio are…"
1 hour ago
Bree replied to soaringeagle's discussion '3.0 feature request'
"I hope this feature will be added, as SE says it will really help to drive activity and allow…"
2 hours ago

NC for HireBernard Lama replied to Indrie Florin Gabriel's discussion 'Buton More Disapears'
"You are welcome Gabriel."
3 hours ago

Cultivating Community

Community Unconference - What I Learned

Community Spotlight: Well-Adjusted, A Bridge to the Next Generation of Insurance Adjusting Professionals

20 Fantastic Content Ideas For Your Online Community

What is Your Community Support System?

Digest Emails: Yea or Nay?

© 2013   Created by Ning.

Badges  |  Report an Issue  |  Terms of Service