Información para el cambio de contraseñas en la UO.

La rectora de la Universidad de Oriente a partir de vulnerabilidades detectadas en el sistema de gestión de usuarios ha indicado un cambio forzado de contraseñas según se explica a continuación.

El desarrollo de los sistemas informáticos y su acercamiento a los usuarios finales genera huecos de seguridad en los mismos que son utilizados por los infractores para transgredir las normas establecidas, si esto se suma el retraso de las normas jurídicas respecto a las acciones violatorias, que crean un limbo jurídico, condicionan la necesidad de desarrollar acciones de manera continua  que contribuyan a disminuir dichos huecos en la seguridad.

 

Unido a ello, las acciones del grupo de seguridad informática en el enfrentamiento a violaciones, llevaron a conocer que existió a nivel de la Universidad, una filtración de nombres de usuarios y contraseñas, que han propiciado que estas se estén utilizando especialmente por acceso wifi.

Esta situación ha condicionado que se esté manifestando una violación conocida como suplantación de identidad, que es un delito informático la suplantación de identidad que consiste en la apropiación del nombre, contraseñas y/o patrimonio de otra persona con el fin de realizar actos delictivos, es un fenómeno que retoma fuerza por la vulnerabilidad y confianza de los usuarios.

Los hackers utilizan este mecanismo para penetrar sistemas informáticos  sin “violentarlos” con la ruptura de sus mecanismos de seguridad y de esta forma pasar inadvertidos, pues a los efectos del control de usuarios es un usuario legítimo quien entró al sistema.

En el caso de nuestra Universidad, básicamente la suplantación de identidad está siendo utilizada para transgredir las normas a través de la navegación en sitios vinculados al sexo y la subversión a partir de las cuentas de usuarios usurpadas.

Esto demuestra una vez más que cualquier medida tomada para proteger las contraseñas por parte de los usuarios propietarios es una necesidad que nadie puede soslayar, pues así se evitar estar involucrado en análisis por violaciones de la seguridad informática como consecuencia de ingenuidades o debilidades en el proceso de manejo de las contraseñas.

Sobre esta base, se propone aplicar  un cambio forzado de contraseñas a todos los usuarios de la red UO Net, dando un plazo de una semana para realizar estas acción; transcurrido ese lapso las cuentas que no cambien la contraseña quedan inhabilitadas y para volverlas a utilizar y sus propietarios deben presentarse con su carné de identidad en la Dirección de Informatización para habilitarlas.

Para evitar que en el futuro se regenere el fenómeno se propone un cambio forzoso de contraseña  a partir de lo que está previsto en el Plan de Seguridad Informática en sus políticas 37 y 38 y las medidas que hacen funcionales las mismas.

Por la cantidad de casos de suplantación de identidad que se han detectado, se propone que el cambio de contraseñas lo realicen los administradores de red de las facultades y áreas,  previa presentación de carné de identidad por parte de los poseedores de cuentas, evitando de esta forma, que personas que tienen acceso a las cuentas inactivas puedan cambiar la contraseña y continuar violando la seguridad informática.

Como elemento adicional en la educación de usuarios, se recomienda la lectura de los artículos publicados en el Blog de Seguridad Informática: “¿Cómo crear contraseñas seguras?” en http://si.uniblog.uo.edu.cu/2016/09/12/contrasena_segura/ y “La suplantación de identidad se evita con prevención”, en http://si.uniblog.uo.edu.cu/2016/10/31/suplantacion-identidad-prevencion/

El procedimiento a desarrollar es el siguiente:

  1. A partir del 12 de noviembre hasta 15 de diciembre del año en curso todos los usuarios de la red (trabajadores y estudiantes) procederá a cambiar sus contraseñas. Según cronograma (Ver tabla)
  2. Para efectuar el cambio de la contraseña, cada usuario con su carné de identidad, se personará ante el administrador de red de su facultad. El administrador no tendrá acceso a la contraseña que será escrita en la PC por el propio usuario que deberá confeccionarla de antemano.
  3. Las contraseñas que los usuarios de la red utilicen en el futuro tendrá 8 o más caracteres, combinando letras mayúsculas y minúsculas, números y caracteres especiales (@ # * ,  . + etc.).
  4. A partir de este momento las contraseñas serán cambiadas cada 40 días de manera obligatoria y no podrán repetirse hasta pasado un año.
  5. Las áreas donde no exista administrador de red realizarán el procedimiento en la Dirección de Informatización en el departamento de atención a los usuarios.
  6. Al comenzar el año 2017, el usuario que no completase el proceso de cambio de contraseña, no podrá utilizar los servicios de la red UO-NET, pues su cuenta estará deshabilitada.

 

Cronograma

12 al 20 de noviembre

Facultad de Derecho

Facultad de Humanidades

Facultad de Ciencias Económicas y Empresariales

Facultad de Construcciones

Facultad de Ingeniería Química y Agronomía

Facultad de Ingeniería Eléctrica

Facultad de Educación en Ciencias Sociales y Humanidades

Facultad de Educación en Ciencias Naturales y Exactas

19 al 27 de noviembre

Facultad de Ciencias Naturales y Exactas

Facultad de Ciencias Sociales

Centro Nac. Electromagnetismo Aplicado

VLIR

ICT sede Julio Antonio Mella

ICT sede Antonio Maceo

Relaciones Internacionales

CEMZOC

19 al 30 de noviembre

Rectorado y sus áreas subordinas

VRP y sus áreas subordinas

VRD y sus áreas subordinas

VRII y sus áreas subordinas

VRIP y sus áreas subordinas

Dirección General Económica y sus áreas subordinas

Director General Administrativo y de Servicios y sus áreas subordinas

2 al 8 de diciembre

Facultad de Ingeniería Mecánica e Industrial

Facultad de Educación Infantil

Facultad de Cultura Física

12 de nov. al 8 de dic.

CUM

 

Acerca de Rubén Font Hernández

Especialista de Seguridad Informática
Esta entrada fue publicada en claves de acceso, contraseñas, seguridad informática, suplantación de identidad. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>