Muy buen hilo de debate compañeros. Como todos vosotros, me tomo muy en serio la seguridad informatica en general y opino que es muy importante que tomemos consciencia de ello.
Mi opinion personal, es que debemos dedicar tiempo a gestionar todos aquellos aspectos relacionados con la seguridad sobre los que podamos intervenir. La seguridad 100% no existe, siempre estamos expuestos, pero de esta manera podremos evitar o en gran medida mitigar mucho de los problemas.
Creo que hoy en día el gran caballo de batalla es el maldito phising y el malware, ambos en todas sus variantes. Los virus como los conociamos hace 20 años han desaparecido. Ahora todo esta enfocado a engañar al usuario via mail, sms, llamadas, webs fraudulentas, recopilar datos de usuario/personales, suplantaciones, ejecutables que te encriptan todos los discos o la red informatica o que convierten a tu equipo en un zombie.
Todo esto, a mi parecer, es casi que más importante a que nos puedan entrar a algun servicio independiente si se filtra una contraseña (importante por ello que cada sitio tenga una diferente).
Sin olvidar los password que como bien habeis expuesto, deberian ser de calidad, estar alamacenados en un lugar seguro y ser unicos en cada sitio.
Casi que me atreveria a decir que con las recomendaciones basicas de controlar el phising, descargas, passwords y mucho sentido comun, ya hay un gran camino hecho y estamos bastante seguros.
Las recomendaciones generales que me gusta adoptar sobre lo que podemos controlar nosotros tanto en lo que concierne a la seguridad offline como online:
-Primeramente aplicar cifrado a nivel de dispositivo de bloque: Con bitlocker para windows o dm-crypt cryptsetup en linux podemos aplicar cifrado a nivel de discos/particiones de sistema, discos de datos, medios externos, etc. Esto significa que si el dispositivo no se monta de forma adecuada, todo el contenido del mismosera una gran cantidad de datos aleatorios, sin forma de determinar el sistema de archivos ni los datos que contiene.
Para mejorar mas este punto del cifrado a nivel de bloque tambien podemos ayudarnos agregando a la ecuacion el uso de tpm.
Todo esto es especialmente interesante en el caso de robo de dispositivos portatiles, si entran en casa y se llevan las torres, medios externos, si inician nuestros equipos con sistema live,etc. Por nuestro lado podemos dormir tranquilos.
-Adicionalmente a lo anterior tambien me gusta aplicar sobre ciertos archivos y directorios cifrado a nivel de sistema de archivos. En Windows podemos utilizar de forma nativa efs atraves de certificado. Este certificado sirve para instalarlo en sitios de confianza y leer los datos (tras abrir el medio protegido con bitlocker). En linux fscrypt.
-Aplicar actualizaciones de seguridad, uso de firewall.
-Politica de backups 3,2,1.
-No almacenar credenciales de acceso en navegadores de forma local/cookies ni en servicios online.
-Las credenciales en un container cifrado. Si utilizamos software de terceros, como bien indicais, que sea algo auditado por la comunidad tipo keepass. A mi personalmente me gusta utilizar en linux un contenedor dm-crypt y generar las contraseñas con /dev/random de forma aleatoria.
-Respecto a las contraseñas: Robustas, diferentes en cada sitio, utilizar 2FA siempre que se pueda via generador de codigos en vez de sms.
-No al autologueo.
-No guardar formularios con datos personales.
-No guardar medios de pago. En las paginas en las que al final hay que agregar un metodo de pago, que sea virtual/paypal.
-Forzar https, dns sobre https o sobre tls, dnssec.
Estos puntos anteriores se pueden configurar en los navegadores. Que no guarden ni pidan guardar todos estos datos, asi como eliminarlos si los has guardado previamente, https, doh, etc. Configurar tambien que al cierre del navegador se eliminen las cookies por si hay inicios de sesion abiertos.
-Tratar archivos de forma aislada previamente:
-Podemos tener un par de equipos, uno "oficial" y otro de "cacharreo". Como esto no siempre es viable a mi me gusta utilizar mucho funciones como:
+Con windows version pro utilizo espacio aislado sandbox como sistema virtualizado. Esto permite probar tus aplicaciones sin que afecten al sistema anfitrión.
Tambien existe la posibilidad con win10/11 de utilizar proteccion de aplicaciones/navegacion aislada como contenedor. Si no tienes ninguna de estas caracteristicas podemos tener una maquina virtual.
+En linux dockerizar servicios o usar linux containers (lxc/lxd) que nos permiten tener un sistema levantado en segundos aislado del host. O lo que a mi me gusta más que es dockerizar dentro de lxd haciendo nesting.
-No registrarse en 200 sitios exponiendo tus datos. Al principio del hilo comentaba que deberiamos gestionar todo aquello sobre lo que podamos intervenir, pero por desgracia, hay aspectos que van mas allá como pueden ser la explotación de vulnerabiliadedes de servicios de terceros que originan filtrado de datos de todo tipo dando lugar a suplantaciones, robo de credenciales, banca, etc.
Los problemas muchas veces llegan porque X o Y sitio ha sido atacado. Como indicaba Tuelas, yo tambien huyo de sitios en la nube, gestores online, etc. Como se ha comentado en el hilo no estan exentos de problemas.
Gestionar una gran numero de contraseñas puede resultar engorroso para la mayor parte de los usuarios ya que no tienen o pueden dedicar tiempo a todo este sistema o simplente no quieran usar esta via.
Esta claro que en todos estos casos lo mejor es utilizar un gestor aunque no sea local, por supuesto.
Aunque hemos visto recientemente problemas con lastpass o bitwarden. En el caso de bitwarden no es un problema en si con el cifrado sino en un addon con el que la gente busca simplicidad y comodidad al entar a una web y loguearse automaticamente. Y aqui es donde vienen los problemas de seguridad, robo de contenedores con passphrase para el contenedor no adecuadas y los ataques de fuerza bruta.
Tambien hay soluciones dedicadas selfhost como el proyecto vaultwarden esta muy bien y poco a poco la apuesta de las grandes compañias por eliminar las contraseñas lo antes posible en favor del uso de llaves de seguridad, identificadores biometricos, generadores de doble factor, etc
Perdon por el toston y un saludo compañeros.