Seguridad decente (Parte I) – Bastionando los dispositivos de tus familiares en 8 pasos

M.R 02/01/2019

Ha llegado la época de visitar la familia y, como informáticos, el tiempo de responder a la siguiente pregunta: “¿Me puedes arreglar este cacharro?” Da igual si eres Pentester, Programador o Desarrollador web, para ellos eres el que trabaja con “estos cacharros (ordenadores y dispositivos varios), y por lo tanto, la persona ideal para quitar los virus que se han ido acumulando durante el año e instalar un sistema operativo nuevo.

Hemos recopilado unos consejos para facilitarte ese trabajo, optimizar tu flujo de trabajo y reducir las posibilidades de que tengas que hacerlo de nuevo el año que viene (aunque no prometemos nada…). Empezamos desde cero (¡haz una copia de las fotos familiares antes de formatear el disco!) con el típico setup de máquina nueva y Windows 10.

1 - Actualizar el BIOS

Para una mejor compatibilidad y seguridad, debes actualizar el BIOS. Un BIOS moderno (realmente UEFI) es un sistema operativo completo que se ejecuta debajo y al mismo tiempo que Windows, y también necesita parches. Las actualizaciones de la BIOS ofrecen correcciones, características y actualizaciones de seguridad que no conocerá en las noticias.

Incluso los PCs nuevos necesitan actualizaciones. Si estás empezando desde cero, realiza la actualización de la BIOS después de instalar Windows 10.

 

Puedes encontrar la herramienta de actualización de BIOS en la página de controladores del fabricante para el modelo. Aquí por ejemplo las actualizaciones de BIOS para un modelo de HP:

Si tu familiar tiene una Surface, las actualizaciones del BIOS se entregan a través de Windows Update y puedes saltar al paso dos.

2 - Preparar el medio de instalación

Para preparar la instalación de Windows 10 64bit en el hardware, puedes usar la Herramienta de creación de medios de Microsoft para crear un DVD o dispositivo USB de arranque.

Asegúrate de que todo esté respaldado antes de continuar (¿has hecho backup de las fotos verdad?). Los siguientes cambios borrarán tu instalación de Windows.

3 - Configurar BIOS

Esto es importante y es algo de lo que pocos hablan:

Desde el arranque de su computadora, presione la tecla de configuración. Puede ser F1, F2, F8, F10, Del o algo más para entrar en el modo CONFIGURACIÓN.

Una vez dentro, establece una contraseña de configuración. Usa uno simple, esto es solo para evitar la modificación maliciosa por parte de alguien frente a la computadora o por un programa que intenta corromperlo.

Cambiar el arranque a priorizar UEFI. Deshabilita todo excepto UEFI DVD, UEFI HDD y USB UEFI si vas a usar una memoria USB para instalar Windows.

Habilita las opciones TPM (si está disponible) y SecureBoot (si está disponible). ¡Esto es super importante!

Deshabilita 1394 (FireWire) y ExpressCard/PCMCIA (si estás en un portátil) como una capa para mitigar aún más los ataques DMA. Esto ya no es tan importante, pero si no se usa, es mejor que las desactivas.

Si te deja el familiar, y si la BIOS lo ofrece, puedes habilitar una contraseña del sistema y del disco duro. Usaremos BitLocker para proteger el disco, pero esta es una capa adicional que puede agregar si lo deseas lo deseas él familiar.

 

Si tu familiar esta emparanoiado (quizás piensa que le escucha hacienda o los alienígenas) y no quiere usar una cámara web o un micrófono, puede apagarlos en la BIOS, pero no suele ser el caso y normalmente basta con poner una tapadora de webcam.

Guarda la configuración y apaga.

4 - Instalar Windows 10

Inserta el DVD/USB. Arranca el portátil y usa la tecla de acceso rápido del menú de inicio para arrancar desde el UEFI DVD o UEFI USB. La tecla de acceso rápido es a menudo F12, DEL (SUPR) o ESC.

Sigue las indicaciones e instala Windows. Si te da la opción de dónde instalar Windows y ya hay una partición, primero elimínala.

5 – Actualizar Windows 10

Sigue actualizando el equipo usando Start à Configuración à Actualización y seguridad hasta que no quede nada por actualizar.

6 – UAC a tope!

Escúchame. UAC es un control de seguridad crítico que tiene enormes impactos que no puedes ver. Aunque mucho se ha hablado sobre como burlar esta medida de seguridad, no es una chorrada inútil. Existe por razones muy importantes. No es bueno apagarlo.

Sigue estas instrucciones para configurar UAC en la opción más alta, "Avisarme siempre". Cualquier cosa menos permite que cualquier malware se eleve instantáneamente a los permisos de nivel de administrador. UAC no es magia, pero es una capa que quieres usar.

 

7 – Habilitar Bitlocker

Lo puedes buscar dentro del panel de configuración y seguir las indicaciones en pantalla o seguir las instrucciones de este artículo.

Si dice que no tiene un TPM, aquí encuentras instrucciones de cómo usar BitLocker sin TPM.

8 – Bastionando el navegador

La siguiente sección la dedicamos a la instalación y configuración de Google Chrome. Chrome es el navegador más seguro debido a su tecnología de caja de arena fuerte (Sandbox) que evita el escape de malware y se actualiza muy frecuentemente para solucionar problemas de seguridad. Firefox, carece de las fuertes protecciones de la caja de arena ya que todavía se está modernizando. Microsoft Edge es impresionante, pero Chrome puede entregar Flash y otras actualizaciones más rápido sin estar mayormente vinculado a las versiones mensuales. También decir que el mes de diciembre Microsoft ha decidido reconstruir Edge por completo e integrará el mismo corazón de Google Chrome: Chromium.

Instalar Google Chrome x64 en toda la máquina

Instalar Chrome de la forma habitual te dará una instalación por usuario. Esto significa que los ejecutables y los accesos directos de Chrome están en el perfil de usuario y pueden ser modificados por un programa malicioso sin elevación. La versión de 64 bits es la recomendada y más resistente a ataques e interferencias de otros programas.

En esta página, haz clic en "Descargar el paquete MSI de 64 bits de Chrome" e instálalo:

No tienes que desinstalar lo que estás ejecutando en este momento, la instalación acabará silenciosamente.

Instalar uBlock Origin

Muchos de los ataques web se producen a través de anuncios maliciosos comprados por delincuentes y mostrados en sitios web generales. No tienes que estar en una parte “oscura” de la red, puedes ir a marca.com y quedarte infectado (en teoría claro…).

uBlock Origin es el software de bloqueo de anuncios más rápido, más completo y de mayor reputación disponible. Instálalo y reza que tus familiares no lo desactivan porque no les funciona su juego online favorito…

Otra manera de proteger los equipos y navegadores de anuncios es el despliegue de Pi-Hole y lo hemos detallado en el artículo de noviembre.

 

Instalar HTTPS Everywhere

La EFF, una organización de defensa de la privacidad, publica una extensión del navegador que cambia automáticamente los sitios web a HTTPS. Muchos sitios en la web ofrecen un soporte limitado para el cifrado a través de HTTPS, pero hacen que sea difícil de usar. Por ejemplo, pueden usar HTTP sin cifrar por defecto, o rellenar páginas cifradas con enlaces que regresan al sitio no cifrado. La extensión HTTPS Everywhere soluciona estos problemas mediante el uso de tecnología inteligente para reescribir las solicitudes de estos sitios a HTTPS. Aquí encontrará información sobre cómo acceder al repositorio Git del proyecto y cómo involucrarse en el desarrollo.

 

Con estos pasos rápidos, tus familiares tendrán un sistema con una seguridad del nivel decente y durante el año lo puedes complementar con pequeñas lección sobre la necesidad de doble autentificación, contraseñas seguras y privacidad