Como protegerse de los hackers

Como vivir en una sociedad moderna exige que depositemos demasiada confianza en terceros, la respuesta más frecuente es: “poca cosa”. Si no, mira por ejemplo el famoso hackeo a Equifax, que afectó a casi la mitad de la población estadounidense, aunque muy pocos de los implicados se hubieran suscrito a su servicio voluntariamente.
Los hackers acceden a millones de contraseñas de una sola vez y ocasionalmente causan pérdidas de información a gran escala. Deberíamos empezar a asumir, además, que lo más probable es que en el futuro esto no mejore: tenemos desastres en la vida real causados por la interconectividad del internet, con robots domésticos que podrían llegar a matarte, ordenadores portátiles voladores que pueden hackear y hackers que amenazan con robar tus datos genéticos. Mientras tanto, la creciente vigilancia pasiva se ha infiltrado en el Estado y en la policía de manera incesante y amenaza cada vez más nuestra privacidad digital.
Esto no quiere decir que solo haya desesperanza. Hay muchas cosas que puedes hacer para complicarle la vida a los hackers o a los vigilantes que quieren acceder a tus dispositivos y cuentas, y el propósito de esta guía es darte unos pasos claros para que mejores tu seguridad digital. Existen, en términos generales, dos tipos de hackeos: los impredecibles y que por ello no pueden prevenirse, y los predecibles que sí se pueden evitar. Queremos ayudarte a mitigar el daño causado por el primero, y evitar la ocurrencia del segundo.
Tú, como usuario, no puedes hacer nada por impedir que hackeen la información de tu proveedor de email, o de la compañía que guarda tu información financiera. Pero sí puedes evitar un ataque de suplantación que le permita a un hacker acceder a tu correo personal, y evitar que una contraseña capturada en un hackeo mayor sea reutilizada en otra de tus cuentas.
Esta guía no es absoluta ni personalizada; no existe nada parecido a la “seguridad perfecta” y no hay una solución unívoca que encaje en todos los problemas. Solo queremos que esto sea un punto de partida para aquellos que busquen subir la guardia en su vida digital.
Por eso hemos querido que esta guía sea lo más accesible posible, pero si encuentras un término que desconoces, hay un glosario que te podrá ayudar.
Esta guía es producto del trabajo de muchas personas que hacen o hicieron parte del personal de Motherboard, y fue revisada por muchas de nuestras fuentes, a quienes les debemos mucho. Grandes secciones fueron escritas por Lorenzo Franceschi-Bicchierai, Joseph Cox, Sarah Jeong y Jason Koebler, pero los consejos que contienen son el resultado de textos e investigaciones hechas por docenas de reporteros y profesionales de la seguridad informática. Considéralo un trabajo en continuo progreso que recibirá al menos una actualización anual y pequeñas modificaciones en la medida en que nuevas vulnerabilidades queden expuestas. Un agradecimiento especial a Matt Mitchell, de Crypto Harlem, y Eva Galperin, de la Electronic Frontier Foundation, por reseñar partes de esta guía.
MODELOS DE AMENAZA
Todo en esta guía comienza con los “modelos de amenaza”, que es el lenguaje del hacker para evaluar qué probabilidad hay de que vayas a ser hackeado o vigilado. Cuando piensas cómo proteger tus comunicaciones digitales, es imprescindible que primero sepas de qué y de quién las estás protegiendo. “Depende de tu modelo de amenaza” es algo que los profesionales de la seguridad dicen cuando se les pregunta si Signal es la mejor aplicación para mandar mensajes o si Tor es el servidor más seguro. La respuesta a cualquier pregunta acerca de lo “mejor” en seguridad es, esencialmente: “depende”
Ningún plan de seguridad es idéntico a otro. El tipo de protecciones que tengas depende de quién esté intentando entrar en tus cuenta o leer tus mensajes. La mala noticia es que no hay algo perfecto contra todo (¡lo sentimos!), pero la buena es que la mayoría de personas encajan en un modelo de amenaza que les permite no tener que vivir como reclusos paranoicos para navegar con razonable seguridad por internet.
Entonces, antes de hacer cualquier cosa, debes determinar tu modelo de amenaza. Básicamente pregúntate, ¿qué estás intentando proteger y de quién lo quieres proteger?
La Fundación Electronic Frontier recomienda hacerte estas preguntas a ti mismo para determinar tu modelo de amenaza:
Qué quieres proteger?
¿De quién lo quieres proteger?
¿Cómo de necesario es que lo protejas?
¿Cómo de graves son las consecuencias si no logras protegerlo?
¿Qué inconvenientes estás dispuesto a afrontar para hacer esto?
¿Tu amenaza es un ex que podría querer entrar en tu cuenta de Facebook? Entonces, asegurarte de que no sepa tu contraseña es un buen punto de partida (no compartas contraseñas importantes con la gente, no importa quién sea; si estamos hablando de Netflix, asegúrate de nunca usar esa contraseña en otro lugar).
¿Estás intentando evitar que “doxers” (personas de mentes brillantes que ya tienen toda tu información personal lista para hacerte llorar) inoportunos recopilen tu información personal —como la fecha de tu cumpleaños— que puede ser utilizada para encontrar más detalles? Bien, entonces es buena idea fijarte en qué tipo de cosas publicas en redes sociales. Y la autenticación en dos pasos (más de esto, abajo) debería ser suficiente para disuadir a criminales más serios. Si eres un activista, periodista o, por alguna razón, tienes razones para sospechar que el Gobierno, el Estado u otros actores de la ley quieran hackearte o vigilarte, los pasos que debes tomar para protegerte a ti mismo son significativamente diferentes de los que deberías tomar si lo que estás ocultando es la fiesta sorpresa de tu mejor amigo.
Sobrevalorar tu amenaza también puede ser un problema: si empiezas a usar sistemas operativos personalizados y de difícil uso, máquinas virtuales o cualquier cosa técnica cuando no es realmente necesario (o no sabes cómo usarlo), probablemente estás perdiendo el tiempo y podrías estar poniéndote en riesgo tú mismo. En el mejor de los casos, incluso las tareas más simples pueden tardar un poco más; en el peor de los casos, puedes tener una falsa sensación de seguridad con servicios y hardwares que no necesitas, sin tener en cuenta lo que realmente te importa y los problemas reales que podrías estar afrontando.
MANTÉN TUS APLICACIONES ACTUALIZADAS
Probablemente lo más importante y básico que puedes hacer para protegerte es actualizar el software que usas a su versión más reciente. Esto significa, usar la versión actualizada del software de cualquiera que sea el sistema operativo que uses y actualizar todas tus aplicaciones y el software. También significa actualizar el firmware de tu router, dispositivos conectados y cualquier otro dispositivo que uses que se pueda conectar a internet.
Ten en mente que en tu ordenador, no necesariamente tienes que usar la última versión del sistema operativo. En algunos casos, incluso las versiones más antiguas de los sistemas operativos hacen actualizaciones de seguridad. (Desafortunadamente, este ya no es el caso de Windows XP, así que ¡deja de usarlo!) Lo que es más importante es que tu sistema operativo siga recibiendo actualizaciones de seguridad y las estés descargando.
Si quieres quedarte con una lección de esta guía es: actualiza, actualiza, actualiza o mantente al día con las mejoras.
Muchos ciberataques comunes toman como ventaja las vulnerabilidades de softwares desactualizados como servidores web viejos, lectores de PDF o herramientas de hojas de cálculo y de texto. Teniendo todo actualizado, tienes menos posibilidades de convertirte en la víctima de un malware, porque los realizadores responsables y desarrolladores de software rápidamente crean parches (mejoras de software) a sus productos después de que aparezcan nuevos hacks.
Hackear es frecuentemente un camino de menor resistencia: vas tras los objetivos fáciles y suaves primero. Por ejemplo, los hackers detrás del destructivo ransomware conocido como WannaCry llegaron a quienes no habían actualizado su sistema de seguridad, que estaba disponible desde hace semanas. En otras palabras, ellos sabían que iban a lograrlo porque sus víctimas no le habían puesto seguro a sus puertas a pesar de que sus llaves ya se habían puesto a disposición de todos.
CONTRASEÑAS
Todos tenemos demasiadas contraseñas para recordar, razón por la cual algunas personas simplemente reutilizan las mismas una y otra vez. Reutilizar contraseñas es malo porque, por ejemplo, un hacker obtiene el control de tu contraseña de Netflix o Spotify y puede usarla para acceder a tus aplicaciones de transporte y viajes compartidos, o de la cuenta bancaria para acceder a tu tarjeta de crédito. Aunque nuestros cerebros no son realmente tan malos para recordar contraseñas, es casi imposible recordar docenas de contraseñas únicas y seguras.
La buena noticia es que la solución a estos problemas ya está aquí: los administradores de contraseñas. Son aplicaciones o extensiones del navegador que realizan un seguimiento de las contraseñas por ti, automáticamente te ayudan a crear buenas contraseñas y simplifican tu vida en línea. Si usas un administrador, todo lo que tienes que recordar es una contraseña, la que desbloquea la serie de las otras contraseñas.
Sin embargo, más vale que esa única contraseña sea buena. Olvídate de las letras mayúsculas, símbolos y números. La forma más fácil de crear una contraseña maestra segura es con una frase: varias palabras aleatorias pero pronunciables— y por lo tanto más fáciles de memorizar—. Por ejemplo:floodlit siesta kirk barrel amputee dice (sin embargo, no uses esta, acabamos de gastarla).
Una vez que tengas esto, puedes usar contraseñas únicas hechas de muchos caracteres para todo lo demás, siempre y cuando las crees con un administrador de contraseñas y nunca las vuelvas a utilizar. La contraseña maestra es mejor como una frase porque es más fácil de memorizar y las otras contraseñas no necesitan ser memorizadas porque el administrador las recordará.
Intuitivamente, podrías pensar que no es prudente guardar tus contraseñas en tu ordenador o con un administrador de contraseñas. ¿Qué pasa si un hacker entra? ¿es mejor, seguramente, que las recuerde todas en mi cabeza? Bueno, no realmente: el riesgo de que un delincuente reutilice una contraseña compartida que ha sido robada de otro lado es mucho mayor a que algún hacker sofisticado ataque de forma independiente tu base de datos de contraseñas.
Por ejemplo, si usaste la misma contraseña en diferentes páginas web, y esa contraseña fue robada en los hacks masivos de Yahoo! (que incluyen, tres mil millones de personas), esta podría ser fácilmente reutilizada en tu Gmail, Uber, Facebook y otras páginas web. Algunos administradores de contraseñas guardan tus contraseñas cifradas en la nube. Incluso si la empresa es hackeada, tus contraseñas estarán seguras. Por ejemplo, el administrador de contraseñas LastPass ha sido hackeado al menos dos veces, pero no se han robado contraseñas reales porque la compañía las almacenó de forma segura. LastPass sigue siendo un administrador de contraseñas recomendado a pesar de esos incidentes. De nuevo, se trata de entender tu propio modelo de amenazas.
Así que, por favor, usa uno de los muchos administradores de contraseñas que hay, como 1Password, LastPass o KeePass. No hay razón para no hacerlo. ¡Te hará a ti —y al resto de nosotros— estar más seguros! y hará tu vida más fácil.
Y si tu jefe te pide que cambies las contraseñas periódicamente por razones de seguridad, dile que es una idea terrible. Si utilizas un administrador de contraseñas, autenticación en dos pasos (ver más adelante) y tienes contraseñas seguras y únicas para cada cuenta, no es necesario cambiarlas todo el tiempo, a menos que haya un incumplimiento con el servidor o tu contraseña haya sido robada de alguna manera.
AUTENTICACIÓN EN DOS PASOS
Tener contraseñas únicas y fuertes en seguridad es un gran primer paso, pero incluso estas pueden ser robadas. Entonces, para tus cuentas más importantes (piensa en tu correo electrónico, cuentas de Facebook y Twitter y cuentas bancarias o financieras) debes agregar una capa adicional de protección conocida como autenticación en dos pasos (o de dos factores o 2FA). Actualmente hay un montón de servicios que ofrecen autenticación en dos pasos, por lo que es muy recomendable activarla en tantas páginas como puedas. Mira todos los servicios que ofrecen 2FA en twofactorauth.org.
Al habilitar esta función necesitarás algo más que solo tu contraseña para iniciar sesión en esas cuentas. Por lo general, es un código numérico enviado a tu móvil a través de mensajes de texto o puede ser un código creado por una aplicación especializada (que es mejor si tu móvil no tiene señal en el momento de iniciar sesión) o algún pequeño dispositivo parecido a una USB (a veces llamada YubiKey, gracias a la marca más popular de las mismas).
Ha habido mucha discusión en el último año sobre si los mensajes de texto pueden considerarse un "segundo factor" seguro. El número telefónico de la activista DeRay McKesson fue filtrado, lo que significó que los hackers con acceso a los códigos adicionales de seguridad que protegen sus cuentas podían enviárselos directamente a sí mismos...Y el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), un organismo del gobierno de los Estados Unidos que escribe directrices sobre reglas y medidas, incluida la seguridad, recientemente desaconsejó el uso de mensajes de texto basado en 2FA.
El ataque a DeRay fue posible gracias a la "ingeniería social". En este caso, un criminal engañó a un representante de servicio al cliente para dejar a DeRay vulnerable. El ataque se realizó consiguiendo el teléfono de su compañía y emitiendo una nueva tarjeta SIM para los atacantes, permitiéndoles hacerse cargo de su número. Eso significa que cuando usaron su primer factor (la contraseña) para iniciar sesión en su cuenta, el código del segundo factor fue enviado directamente a ellos. Este es un hackeo común que está aumentando cada vez más.
Es difícil defenderse de un ataque como este, y es una triste realidad saber que no hay una forma de seguridad inexpugnable. Pero hay pasos que puedes llevar a cabo para que estos ataques sean menos probables, y los detallamos a continuación, en la sección de seguridad móvil.

Comments

Post a Comment

Popular posts from this blog

¿Cómo funciona PayPal? Tutorial para principiantes Muchos usuarios, a la hora de realizar sus pagos vía web, habrán encontrado el logotipo dePayPal al lado de las tarjetas de crédito. ¿Qué es PayPal? Tiempo atrás existía la percepción de que realizar pagos por Internet era demasiado inseguro. Aunque a día de hoy, esta idea aún está presente en la mente de algunos usuarios, PayPal nace para erradicar estos miedos y crear una forma fácil y segura de pagar y recibir pagos online sin compartir información financiera. Estos datos bancarios o información financiera estarán a salvo gracias a un sistema de encriptación automática y a avanzados sistemas contra el fraude que la empresa se encarga de actualizar continuamente. PayPal es una billetera virtual que podrás utilizar para realizar tus pagos a través de Internet sin necesidad de introducir tus datos bancarios en cada plataforma. PayPal guardará estos datos de forma segura. Crear una cuenta de PayPal es muy sencillo: sólo tienes q...
Read more
Seguridad en Internet La seguridad en internet es la seguridad informática. Para estar verdaderamente seguros tenemos que prescindir de algunas cosas, una de ellas es el internet; el estar conectados a la red ya nos hace vulnerables. Específicamente relacionada con Internet, a menudo incluyendo la seguridad de los navegadores pero además la seguridad de redes en un nivel más general, ya que se aplica a otras aplicaciones o sistemas operativos como un conjunto. Su objetivo es establecer reglas y medidas que usar contra ataques en Internet.1​ Internet representa un canal inseguro de intercambio de información incluyendo un alto riesgo de intrusión o fraude, al igual que de phishing. Se han estado utilizando diferentes métodos para proteger la transferencia de datos, incluyendo cifrado. Un usuario puede ser engañado o forzado a descargar programas en su ordenador con intenciones dañinas. Dichos software pueden aparecer de distintas formas, tal como virus, troyanos, spyware o gusanos...
Read more
Los navegadores web almacenan más información de la que creemos La tecnología de los navegadores web ha avanzado mucho en los últimos años, mejorando sus funciones para hacer más sencillas y rápidas nuestras búsquedas a través de Internet. Sin embargo, parte de esas mejoras en usabilidad se dan a costa de recopilar nuestros datos. Por ello, debemos ser conscientes de toda la información que es capaz de recopilar un navegador web y tomar las medidas de seguridad pertinentes. Como cualquier día, encendemos nuestro ordenador o nuestro smartphone, entramos al navegador y hacemos una búsqueda a través de Internet. Pero, cuando vamos a comenzar a escribir, el propio navegador nos sugiere un resultado similar a lo que habíamos buscado anteriormente. ¿Por qué?, ¿sabe lo que hemos estado buscando? Otro caso muy común es cuando, por ejemplo, buscamos información sobre algo concreto y posteriormente nos aparecen anuncios sobre ello. Este fenómeno no es casualidad, y se trata de una funci...
Read more