16 septiembre 2009

Guía de seguridad para Gmail

Gmail tal vez sea el gestor de correo online mas popular en cuanto a usuarios y, obviando el debate sobre si tener nuestra correspondencia alojada en servidores que no controlamos es o no una buena praxis, vamos a explicar unos cuantos consejos para fortificar nuestra cuenta Gmail.

Nos dirigimos a 'Configuración' --> 'General' y ahí debemos seleccionar la opción 'Preguntar antes de mostrar contenido externo' de forma que nos aseguramos que tendremos pleno control sobre imágenes y links que puedan llegarnos vía correo. (click para ampliar las imágenes)

El siguiente paso lo encontramos en 'Imágenes de los contactos' y debemos seleccionar 'Mostrar únicamente las imágenes que yo haya elegido para mis contactos' tal vez sea una medida un tanto paranoica, pero se han dado casos de exploits cuyo vector era el procesamiento de imágenes


Por último, punto de crucial importancia, activar las sesiones HTTPS


Seguimos por 'Reenvío y correo POP/IMAP' ahí, salvo que vayamos a usar externamente Gmail, deshabilitamos el re-envío, POP e IMAP.


Continuamos en las opciones de 'Chat'. Aquí es recomendable deshabilitar el archivado de conversaciones mantenidas en Gtalk. Bien es cierto que es igual de problemático dejar los correos en Gmail, pero si podemos limitar la exposición, mejor.

Otro punto que debemos marcar es 'Permitir sólo a las personas que he aceptado de forma explícita que chateen conmigo y que vean cuando estoy conectado' Por defecto, Gmail asume que tu deseas tener a alguien en tu lista de contactos del chat si has intercambiado algunos correos con esa persona, y ambos tenéis Gmail. A mi me ha pasado, súbitamente aparecen contactos nuevos a los que incluso me resulta violento 'entrarles' vía chat.

Siguiendo en las opciones de 'Configuración' de Gmail nos detenemos en Labs y activamos una extensión bastante útil para identificar correos autenticados de proveedores como Ebay o PayPal


La última parte de la configuración está en la parte de gestión de cuentas Google. Para localizar esta parte, nos situamos en 'Configuración' --> 'Cuentas e importación' --> 'Configurar la cuenta de Google' --> 'Configuración de tu cuenta de Google' Una vez ahí, vamos a 'Cambiar opciones de recuperación de contraseña'. Por todos es bien sabido que la famosa 'pregunta secreta' es el punto de entrada mas usado a la hora de comprometer cuentas en Webmails (véase asunto Palin o Twitter) Dado que Google ofrece opciones mas interesantes, mi consejo es que el campo de la pregunta secreta sea rellenado con caracteres aleatorios (cuanto mas mejor) e inutilizarla. Por contra, activamos la recuperación mediante segunda cuenta de correo, y también una opción francamente valiosa: recuperación por mensaje de texto (debemos proporcionar un número de móvil -evidentemente-)



Por último, me gustaría destacar algo de Gmail que me parece extremadamente útil. Por la parte de abajo, se encuentra una opción donde poder ver y contrastar las IPs y orígenes (navegador, barra google ...) que han abierto sesión en tu cuenta Google. Es muy saludable verificar con cierta frecuencia que solo IPs que has usado tu han abierto sesión en tu cuenta. (Si tienes dudas sobre una IP, puedes preguntarle a nuestro bot :)


Espero que la guia haya sido amena y útil, y aprovecho también para recomendar los posts sobre protección de dominios, Youtube y nuestro 'hardenizador' para Firefox: FFhardener

20 comments :

Miguel dijo...

Ahora solo hace falta esperar a que los de google-labs creen una aplicación para usar pgp desde el webmail :)

Yago Jesus dijo...

@Miguel, puedes usar GPG desde Gmail vía firefox y esta extensión http://es.getfiregpg.org/s/home

akae dijo...

Pues el otro día ví ésta gráfica que expone que gmail -todavía- no es el correo web más usado:
http://awesome.good.is/transparency/web/trans0309emailwars.html
¿Lo de recuperar la contraseña por el móvil funciona "outside of the usa"?

Yago Jesus dijo...

@akae, merci por la visita, y si, a mi me ha dejado añadir un móvil de Vodafone-España, lo que 'aun' no he probado es el reseteo vía SMS

Juancho dijo...

Muy interesante, si señor :)

Ahor ami pregunta es cómo borrar mi cuenta de google adsense la que - por extraños motivos- tengo compartida con otra persona, a la que no puedo echar ni me puedo dar de baja, y claro no me deja abrir otra por que dice que ya tengo una.
No es un tema de seguridad, pero si que me lo parece de abuso de la información (no puedes renunciar a un servicio de una forma sencilla)

¿cuándo llegará la usabilidad a las condiciones legales?

Yago Jesus dijo...

@Juancho, nunca he usado AdSense, pero creo haber leido en algún otro blog un caso parecido, si recuerdo la URL, te la dejo por aquí

x_mangel dijo...

Muy interesante, algunas cosas las tenía bien configuradas y otras ni se me habían pasado por la cabeza.

Muchas gracias.

Anónimo dijo...

Buenas
Lo de inutilizar la pregunta no lo tengo claro.
Es por lo que comentabas al principio de dejar la controversia de dejar tus datos sensibles en un servidor de EEUU. La mayor parte de los mortales los dejamos en un servidor externo, pero el acaparamiento de datos por parte de Google provoca recelos.

Si a eso le añadimos que tenemos dos emails más que darles a ellos como sistema para recuperación de contraseñas ==> saben que otros servidores utiliza la gente, además de posibles alias o usuarios en los foros o páginas web

si además les damos nuestro móvil,...
pero pensándolo mejor, son sólo unos cuantos más datos sensibles que google ya posee de nosotros.

A lo mejor dejar como método de recuperación de contraseña una pregunta propia, lo más críptica posible, valdría.

Soy consciente de que no querías este debate, pero es que lo de dar el móvil y varias emails alternativos....

Yago Jesus dijo...

@Anonimo, todo lo que dices es muy coherente, pero como bien sabes, existen otras corrientes con tesis opuestas, de ahí que haya intentado ser lo mas aséptico posible sobre Google / datos personales / la nube. Yo creo que es un debate que en otros sitios mas orientados a la opinión se ha tocado innumerables veces y en el que poco mas se puede añadir. Te confieso que incluso internamente tenemos ambas posturas entre los editores del blog

Julio Jaime dijo...

Yo agregaría como buena practica el verificar regularmente en la opcion de Filtros, que no exista un filtro con reenvios a cuentas de terceros.

Buena entrada, vale la pena crear una cheat sheet con estos puntos.

Jaime dijo...

¡Gracias por los consejos!
Muy practicos.

Elros Tasardur dijo...

Muchas gracias por estos consejos tan practicos

Anónimo dijo...

Hablando de anonimato, me gustaría saber cómo comprobar que lo que yo envío encriptado (mediante un cliente de chat o desde el mismísimo GMail con G2G) está siendo realmente enviado de esa forma.
xang_2003(arroba)yahoo.com.ar

Julio Jaime dijo...

http://d3ny4ll.blogspot.com/2009/09/gmail-hardening-cheat-sheet.html

Yago Jesus dijo...

@Julio Jaime: Excelente trabajo

Mir dijo...

Al respecto de este articulo os comento lo que me ha pasado para ver si me podéis ayudar. Estaba escribiendo un mail cuando me dí cuenta que donde pone "Última actividad de la cuenta: ....", había cambiado, tenía el mismo tamaño de letra pero ahora aparecía en verde y ponía algo como: "se acaba de acceder a la cuenta desde otra ubicación...", me pareció rarísimo, nunca me había fijado que hubiera ocurrido esto, pero al estar en letra pequeña, puede haberme pasado más veces y no haberlo visto. El caso es que le dí a información detallada y dónde normalmente pone: "Esta cuenta no parece estar abierta en ninguna otra ubicación" me ponía algo como "Esta cuenta está abierta desde otra ubicación con IP: ...", este IP es distinto del de mi ordenador y mirando dónde pone actividad reciente, me ponía que se había conectado desde un navegador con la dirección IP anterior desde hacía cero minuto, obviamente no era mi ordenador. Yo, no tengo mi cuenta en ningún ordenador para que se conecte automaticamente, sólo me conecto, además, desde el trabajo (que era donde estaba cuando me ocurrió) y desde casa, dónde no había nadie en ese momento. Me fije en donde pone información detallada y se habían conectado a lo largo de la mañana otra vez. Yo, había estado todo el tiempo en mi equipo con la misma dirección IP.

¿Qué puede haber ocurrido? ¿Pueden haber accedido a mi cuenta?. De ser así, ¿cómo ha podido ser?. Mi contraseña es bastante compleja y nunca me conecto desde ningún equipo que no sea el mio de trabajo o el de casa. Pero desde casa me conecto con wifi y me han dicho que puede ser vulnerable. Fundamentalmente me preocupa que puedan haber intentado acceder a mi cuenta en concreto. Por lo que os he contado y por vuestra experiencia ¿qué creéis?, ¿son habituales estas cosas? o es algo raro.

Yago Jesus dijo...

@Mir La verdad es que tiene toda la pinta de que ahí pasa algo raro. Evidentemente cambia la contraseña inmediatamente. Sobre como has podido llegar a esa situación, cierto es que si tienes Gmail con SSL eliminas de golpe muchos problemas de sniffing aun así existen herramientas para des-SSL-ear una conexión. Valora la opción de que tu PC esté comprometido. Monitoriza la actividad de tu equipo con http://www.securitybydefault.com/2009/09/toolkit-forense-mir-ror.html y trata de averiguar si esta sucediendo algo extraño. Suerte !

Mir dijo...

Muchas gracias por la información Jesús.

No sé si me podrás ayudar, pero a partir de que me ocurriera esto he estado mirando las conexiones activas desde mi ordenador y me aparece que esta activo SSManager.exe, mi ordenador es DELL. He estado mirando por la red y no me queda claro que puede ser este programa.¿Puede estar relacionado con lo que me ha ocurrido?. No tengo ni idea del mundo de la informática y puede que este dando palos de ciego y esta aplicación sea normal. Lo tengo instalado en el ordenador del trabajo y he visto en algún foro que puede tratarse de un virus. ¿Podrías informarme de que puede ser?

Muchas gracias por tu ayuda.

Yago Jesus dijo...

@Mir si sospechas de ese ejecutable lo mejor que puedes hacer es localizarlo (tal vez te sea mas facil usando esta herramienta http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) y luego de eso, envíalo a VirusTotal www.virustotal.com ahí lo escanearán con un buen numero de motores antivirus.

Suerte !

Mir dijo...

Muchísimas gracias como siempre Jesús