Cada vez que descargas un programa de Internet, te ves obligado a confiar en el desarrollador en que no se trata de malware. Ninguna otra manera. Pero normalmente esto no es un problema, especialmente con desarrolladores y software famosos.
Sin embargo, los sitios web que alojan software son más vulnerables a los ataques. Los atacantes pueden socavar la seguridad de un sitio web y reemplazar programas con versiones maliciosas de ellos. La versión maliciosa se ve y funciona exactamente igual que la original, excepto que tiene una puerta trasera insertada. Con esta puerta trasera, un atacante puede controlar diferentes partes de la computadora. Su computadora se insertará en una botnet o, peor aún, el malware esperará hasta que use su tarjeta de crédito/débito y robará su información de inicio de sesión. Debe tener especial cuidado al descargar software importante, como sistemas operativos, billeteras de criptomonedas u otro software similar.
Instrucciones para autenticar software de Windows mediante firmas digitales
Los creadores de software pueden "firmar" sus productos. A menos que un atacante pueda robar la clave privada del autor del software, no hay forma de que alguien falsifique esta firma. Hay muchos casos en los que miles de usuarios han descargado programas maliciosos y, en casi todos los casos, si hubieran comprobado las firmas digitales, habrían notado que no eran válidas y la situación se podría haber evitado. Es relativamente fácil reemplazar el software en un sitio web vulnerable, pero extremadamente difícil robar una clave privada que esté almacenada adecuadamente y aislada del acceso a Internet.
Puedes leer más sobre firmas digitales en el artículo: Cómo comprobar la autenticidad del software Linux mediante firmas digitales . Este artículo trata lo mismo, excepto que utilizará utilidades de Windows para autenticar las descargas.
Descargue e instale Gpg4win . Las personas inteligentes se preguntarán cómo saber con certeza si este software es legítimo. Esta es una buena pregunta y si esta página de descarga no funciona, todos los pasos que siguen serán en vano.
Afortunadamente, el desarrollador Gpg4win se ha tomado la molestia de conseguir que su software sea firmado por una autoridad de certificación y detalla los pasos para verificar su programa en el sitio web. Aunque se utiliza la misma criptografía para comprobar la validez, el método general será diferente. Para ello se utilizan certificados digitales.
Supongamos que desea descargar la billetera Bitcoin Core . Descargue el archivo ejecutable de Windows x64 ( exe , no zip ). Luego, haga clic en " Verificar firmas de versión " para descargar el archivo SHA256SUMS.asc. El primer paso es verificar el hash del archivo de instalación.
Vaya a la carpeta de descargas y con Gpg4win instalado, ahora puede hacer clic derecho en un archivo y aparecerá un nuevo menú contextual. Haga clic derecho en el archivo de instalación de Bitcoin ( exe que descargó) y seleccione Más opciones de GpgEX > Crear sumas de verificación , como en la imagen a continuación.
Abra los archivos sha256sum.txt creados y SHA256SUMS.asc descargados . Compare la suma de comprobación SHA256 y deberían ser iguales.
Aunque acaba de descargar el archivo de instalación y la lista de suma de verificación del mismo sitio web, si un atacante reemplaza el archivo de instalación, también puede reemplazar fácilmente la lista de suma de verificación. Sin embargo, los piratas informáticos no pueden falsificar firmas. Esto puede confirmarse mediante una clave pública conocida (legítima). Primero, debe descargar esta clave.
La imagen de la firma se ve así:
Esta es una firma en línea (incluida en el mismo archivo que valida). A veces, esta firma se separará y se colocará en un archivo separado. Si cambia solo una letra en este archivo de texto, la firma ya no será válida. Esta es una forma de estar seguro de que el desarrollador ha aprobado y firmado estos activos exactos y específicos con la suma de verificación correcta.
Tienes las claves públicas disponibles para descargar en la sección “ Claves de firma de versión de Bitcoin Core ” en la página de descargas de Bitcoin. Como precaución, puedes descargarlos desde otra fuente. Si el atacante reemplaza las claves legítimas con su clave privada, encontrará las claves (y las huellas digitales) correctas en todas las demás ubicaciones donde se publicaron o discutieron.
Haga clic derecho en SHA256SUMS.asc y seleccione Descifrar y verificar . El programa te dirá que no tienes una clave pública. Haga clic en Buscar.
La búsqueda puede tardar un poco. Tenga en cuenta la cadena en el campo Buscar.
Puede copiar y pegar en Google para ver las huellas digitales de claves públicas que se han discutido en foros o sitios web legítimos. Cuantos más lugares encuentre esta clave pública, más seguro estará de que pertenece al propietario legítimo.
Haga clic en la clave y luego ingrésela. Puede hacer clic en No en el mensaje que recibirá a continuación (tome medidas para confirmar la clave), si no sabe cómo o no quiere hacerlo ahora.
Finalmente, haga clic en Mostrar registro de auditoría .
Verá el texto Buena firma resaltado en la siguiente imagen.
Intente cambiar solo una letra en SHA256SUMS.asc y obtendrá el resultado como se muestra en la siguiente imagen.
Muy pocos desarrolladores te ofrecen la posibilidad de comprobar si el software proviene de ellos. Pero normalmente los programas que manejan datos sensibles o muy importantes te darán esta opción. Utilice la opción de verificación de firma digital y algún día podría evitarle problemas.
Espero que tengas éxito.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
