El desarrollo de los sistemas informáticos y su acercamiento a los usuarios finales genera huecos de seguridad que son utilizados para transgredir las normas, si a esto se suma el retraso de las reglas jurídicas respecto a las acciones violatorias, se condiciona la necesidad de desarrollar acciones que contribuyan a disminuir dichos huecos en la seguridad.
Las gestiones del grupo de seguridad informática en el enfrentamiento a violaciones, llevaron a conocer que hubo en la Universidad una filtración de nombres de usuarios y contraseñas, por lo cual dichas cuentas se están utilizando especialmente por acceso wifi.
Esta situación ha condicionado que se manifieste una violación conocida como suplantación de identidad, la cual es un delito informático que consiste en la apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de realizar actos delictivos, ello toma fuerza por la vulnerabilidad y confianza de los usuarios.
Los hackers utilizan este mecanismo para penetrar sistemas informáticos sin “violentarlos” y de esta forma pasar inadvertidos, pues a los efectos del control de usuarios es uno legítimo quien entró al sistema.
En el caso de nuestra Universidad, la suplantación de identidad se utiliza para navegar en sitios vinculados a la pornografía y, por otra parte a la subversión ideológica.
Esto demuestra, que cualquier medida tomada para proteger las contraseñas por parte de los usuarios propietarios es una necesidad, pues así se evita estar involucrado en análisis por violaciones de la seguridad informática como consecuencia de ingenuidades en el proceso de manejo de las cuentas personales.
Sobre esta base, se propone aplicar un cambio forzado de contraseñas a todos los usuarios de la red UO Net, en el plazo de una semana; transcurrido ese lapso las cuentas que no hayan sido actualizadas quedarán inhabilitadas, y para reactivarlas sus propietarios deberán de presentarse con su carné de identidad en la Dirección de Informatización.
Para evitar que en el futuro se regenere el fenómeno se propone un cambio obligatorio de contraseña a partir de lo que está previsto en el Plan de Seguridad Informática en sus políticas 37 y 38, así como también de las medidas que hacen funcionales a las mismas.
Por la cantidad de casos de suplantación de identidad que se han detectado, se propone que el cambio de contraseñas lo realicen los administradores de redes de las facultades y áreas, con la previa presentación del carné de identidad por parte de los poseedores de cuentas, evitando de esta forma, que personas que tienen acceso a las cuentas inactivas puedan cambiar la contraseña y continuar violando la seguridad informática.
Como elemento adicional en la educación de usuarios, se recomienda la lectura de los artículos publicados en el Blog de Seguridad Informática: “¿Cómo crear contraseñas seguras?” en http://si.uniblog.uo.edu.cu/2016/09/12/contrasena_segura/ y “La suplantación de identidad se evita con prevención”, en http://si.uniblog.uo.edu.cu/2016/10/31/suplantacion-identidad-prevencion/
Pasos a seguir para el cambio de contraseñas:
- A partir del 12 de noviembre y hasta 15 de diciembre del 2016, todos los usuarios de la red universitaria (trabajadores y estudiantes) procederán a cambiar sus contraseñas según el cronograma establecido. (Ver tabla)
- Para efectuar el trámite, cada usuario deberá de presentar su carné de identidad, ante el administrador de red de su facultad. El administrador no tendrá acceso a la contraseña que será escrita directamente en la PC por el usuario, quien deberá confeccionarla de antemano.
- Las contraseñas que los usuarios de la red utilicen en el futuro tendrán ocho o más caracteres, combinando letras mayúsculas, minúsculas, números y caracteres especiales (@ # * , . + etc.).
- A partir de este momento las contraseñas serán cambiadas cada 40 días de manera obligatoria y no podrán repetirse hasta pasado un año.
- Las áreas donde no exista administrador de red realizarán el procedimiento en la Dirección de Informatización en el departamento de atención a los usuarios.
- Al comenzar el año 2017, el usuario que no completase el proceso de cambio de contraseña, no podrá utilizar los servicios de la red UO-NET, pues su cuenta estará deshabilitada.
Cronograma
| 12 al 20 de noviembre | Facultad de Derecho |
| Facultad de Humanidades | |
| Facultad de Ciencias Económicas y Empresariales | |
| Facultad de Construcciones | |
| Facultad de Ingeniería Química y Agronomía | |
| Facultad de Ingeniería Eléctrica | |
| Facultad de Educación en Ciencias Sociales y Humanidades | |
| Facultad de Educación en Ciencias Naturales y Exactas | |
| 19 al 27 de noviembre | Facultad de Ciencias Naturales y Exactas |
| Facultad de Ciencias Sociales | |
| Centro Nac. Electromagnetismo Aplicado | |
| VLIR | |
| ICT sede Julio Antonio Mella | |
| ICT sede Antonio Maceo | |
| Relaciones Internacionales | |
| CEMZOC | |
| 19 al 30 de noviembre | Rectorado y sus áreas subordinas |
| VRP y sus áreas subordinas | |
| VRD y sus áreas subordinas | |
| VRII y sus áreas subordinas | |
| VRIP y sus áreas subordinas | |
| Dirección General Económica y sus áreas subordinas | |
| Director General Administrativo y de Servicios y sus áreas subordinas | |
| 2 al 8 de diciembre | Facultad de Ingeniería Mecánica e Industrial |
| Facultad de Educación Infantil | |
| Facultad de Cultura Física | |
| 12 de nov. al 8 de dic. | CUM |
Visitas: 0
cambié mi contraseña luego de 2 semanas sin usarla y entonces cuando la cambio mi cuenta esta excedida como explicar esto
Según el cronograma de cambio que dieron para los estudiantes de la Facultad de Educación en Ciencias Naturales y Exactas es del 12 de noviembre al 20, pero yo soy estudiante de 4to año y para esa fecha estoy de práctica. Yo me acogería entonces al cronograma qué esta para los CUM y tendremos otra oportunidad?
Ayer cambie mi contraseña.. ya hoy no funciona.. !SORPRESA!..alguien me podría explicar q paso de ayer para hoy???
Y en mi caso que estarè fuera de la Universidad en el periodo de cambio de mi facultad, què puedo hacer? Yo regreso el 21.
Gracias por sus palabras estimado Profesor MSc. Rubén Font, fue muy esclarecedor en sus comentarios y no importa que hayan sido extensas sus palabras, y más cuando era necesaria una aclaración un poco más precisa y explícita de lo que sucederá en pocos días, todo lo que se deba hacer en virtud de aumentar la seguridad y operatividad de la RED UO-NET será acogido con beneplácitos por todos los que estamos comprometidos con nuestra Universidad de Oriente, y no catalogaría lo que se realizará, “como una medida extrema”, sino como una medida estrictamente necesaria, que permitirá el aumento de la robustez de nuestra RED Universitaria y por consiguiente de la seguridad del tráfico de información a través de ella. Éxitos en la tarea…PLJ
Favor de leer detenidamente lo que se dijo en el comentario anterior. Le reitero la parte donde queda claro que eso se hará por una única vez.
“…para hacer el cambio no es necesario, en lo sucesivo, ver al administrador de red, se puede hacer desde el gestor por el propio usuario.”
Repito mi última afirmación. Supongo que Ruben es miembro de nuestros servicios de informatización a los que sabemos no les AFECTA la medida.
Si ha leido con atención ni Pedro ni yo nos quejamos de la medida en sí, que hay que cambiar las contraseñas cada cierto tiempo CORRECTO. Pero tener que ir PERSONALMENTE cada 40 días a cambiarla …
En fin mejor AFECTAR a 12 mil usuarios (según cifras de Ruben)que arreglar un problema.
Estimado Pedro. Solo piense en que pasa con las cuentas cuyos usuarios nunca las han utilizado, que están “inactivas” teóricamente, pero en uso por usuarios ilegítimos, si se deja abierto el cambio a través del gestor. sencillamente no se cortaría el mal. Por eso, el requisito de la psçresencialidad con el carné de identidad. Como usted bien dice existen muchas variantes para la autentificación, pero son costosas y lo son más aún para un sistema multiusuarios de mas de 12 mil cuentas. Y de paso adelanto que vendrán más cambios en el área de las TIC en la UO para lo que la dirección de Informatización trabaja y cuyo objetivo es fortalecer la seguridad de la información y de operaciones.
Es importante hacer aclaraciones para comprender mejor la medida. La primera cuestión es que buscar culpables o decir que el gestor es vulnerable no soluciona el problema, por ello lo mejor es una medida resolutoria.
Un elemento importante es que en el sistema de gestión de los servidores las contraseñas no son visibles, porque es una norma que al ser ingresadas se encripten, ya que la contraseña de oficio debe cambiarse con la primera entrada. (res. 127/07 del MIC, art. 47). Por ello, la filtración no debe estar en los administradores de UO Net, sino en el mecanismo que se utilizó para hacer llegar las cuentas y sus contraseñas a las manos de los usuarios finales en las áreas, cuestión está que tiene una medida correctiva prevista en el Plan de seguridad Informática, pues se publicaron en determinadas máquinas los listados con las cuentas y las contraseñas creadas de oficio, aunque no se da por descontado que se utilizara algún programa para capturar contraseñas en las PC.
Sobre el cambio obligatorio cada 40 días y la no repetición en un año no es una decisión arbitraria, sino que forma parte de la legislación vigente en Cuba sobre seguridad informática (res. 127/07 del MIC, art. 47) y para hacer el cambio no es necesario, en lo sucesivo, ver al administrador de red, se puede hacer desde el gestor por el propio usuario. En este momento, se exige el cambio contra el carné de identidad para poder deshabilitar las cuentas inactivas usurpadas y frenar la espiral de robo de cuentas. Es una medida extrema que facilitará una situación a una problemática que afecta muchos estudiantes y trabajadores de la Universidad, aunque debe quedar claro que cada persona es responsable del cuidado de su cuenta.
Consideramos que la medida debe verse más como protección a los usuarios, porque compañeros nuestros se han visto involucrados en hechos muy bochornosos sin que estuvieran al tanto de lo que pasaba como consecuencia de estos robos de usuarios. Verlo como una afectación, es no apreciar la garantía que ofrece para que no tengamos más “víctimas inocentes” de este tipo de cibercrimen. Es bueno recordar que en una publicación como esta, por razones de espacio y funcionalidad, no siempre se puede explicar todo lo que se desea. Para cualquier duda se puede contactar con los especialistas de Seguridad Informática por las cuentas: seginf1, seginf2 y seginf3, del dominio: @uo.edu.cu. De hecho, le pido disculpas por extender mi comentario.
Para cualquier duda se pueden contactar con el dpto de Auditoría, Control Interno y Seg. Informática por las cuentas: seginf1, seginf2 y seginf3 del dominio: @uo.edu.cu
En consonancia con lo que plantea el Profesor Hassan Martínez H., y para aclarar algunas dudas, ¿No se podría tramitar el CAMBIO DE PSW, directamente de forma telemática a través del SINAV sitio Intranet U.O., Habilitado para tales fines?, ¡Claro con los cambios necesarios en él que mejoren dicho servicio! En cuanto a Seguridad Informática, no soy experto en estos temas, ni soy programador, ni quiero mucho menos dar ideas sobre asuntos que solo le competen como decisores, pero se pudiera pensar ya en establecer otros tipos de autentificación en la RED que trabajen en Tiempo Real y que ya existen en el mundo para acceder a esos servicios conjuntamente con los que ya tienen implementados, si algo estoy seguro es que en informática y programación solo nos limita el vuelo de nuestras mentes, esto les permitiría a todo aquel usuario activo de la UO-Net que se encuentre fuera de las fronteras de nuestro País cumpliendo disímiles tareas oficiales de la U.O., muchas de ellas referentes a misiones educacionales en el exterior así como la obtención de grados científicos, que pudieran estar varios meses fuera del ámbito Universitario de la U.O. DIRECTAMENTE y tendrían por obligación de acudir a familiares cercanos que tengan autorizaciones especiales (quizás Notariales) que los representen oficialmente en Cuba, haciendo algo “difícil” cumplir con estas disposiciones. Los trillos rápidos, no siempre son los más eficientes y seguros, siempre hay que tratar de buscar el camino más eficiente, lógico, estamos acostumbrados a poner “parches de urgencias médicas” pero olvidamos que esas son soluciones efímeras poco lógicas y poco operativas, hay que pensar en soluciones mucho más generales, si se quieren; definitivas, quirúrgicas y creo que con los recursos humanos que posee la U.O. en cuanto a especialistas en estas áreas de las Infocomunicaciones se lograría, ¿si la WiFi U.O. aún no posee el soporte tecnológico para la operatividad segura de dicha plataforma? Entonces, es ahí donde se deben concentrar los recursos mentales de creatividad y los materiales (no menos importantes) para proporcionarles un duro golpe a esas personas inescrupulosas que se aprovechan muchas veces de la falta de conocimientos informáticos de los usuarios de las Redes para realizar sus actividades delictivas y asestar un golpe bajo a la seguridad informática de nuestra U.O. y por ende a nuestro País, pues muchos de estos delincuentes informáticos poseen recursos tecnológicos y conocimientos para poner en prácticas semejantes acciones y siempre serán fantasmas que pudieran una y otra vez regresar. Actualizar la legislación vigente (si fuera necesario) o poner en práctica la existente, aplicando el peso de la ley a los infractores de la misma y no ser paternalistas con estos individuos que socaban la institucionalidad de nuestro País. Un ejemplo que puede ilustrar este asunto lo enuncio con las siguientes interrogantes; ¿Cuántas infracciones permiten ETECSA en estos momentos en nuestra ciudad?, ¿Cuántos individuos operan fuera de la ley de medios utilizando de forma ilegal el espacio radioeléctrico de nuestro País y prosperan con negocios ilegales de transmisión de datos a través de antenas repetidoras de la señales WiFi de ETECSA?, nos hacemos cómplices de estas acciones por tanto convertimos en legítimo lo ilegal, observamos cómo ese fenómeno crece de forma groseramente rápida y aun en nuestro órgano provincial de prensa no he visto un grupo de individuos que hayan sido procesados y expuestos públicamente por cometer tales delitos informáticos. ¡PIENSA ETECSA QUE SOLAMENTE TIENEN APROXIMADAMENTE 4 PUNTOS de COBERTURA WiFi!…Excelente chiste para el día de los inocentes. PLJ
Considero que es importante mantener la seguridad de las cuentas. PERO la filtración de nombres y contraseñas no pudo salir de los profesores ¿ENTONCES porque somos los afectados? porque tener que ir cada 40 días a cambiar la contraseña de forma personal, constituye una afectación.
La herramienta que existe actualmente para los cambios funciona y estoy seguro que puede ser modificada para que oblique a cambiar la contraseña y que lleve un registro que se resetee al año para no repetir constraseñas en ese periodo ¿Porque no se sigue usando entonces?
Creo que estamos acostumbrados a tomar medidas de este tipo que afectan a un gran número de personas para ahorrarles trabajo a unas pocas. Al menos en mi opinión.
Creo que es una medida importante y todos debemos actuar en consecuencia, cumpliendo con la indicación.