Aunque se pueda pensar lo contrario, este tipo de ciberataques no se limitan solo a empresas o gobiernos, nada más lejos de la realidad, los ataques a cuentas personales están muy al orden del día, generando incluso, perdidas monetarias. Nadie está a salvo.
Debido a ello, este artículo trata de citar algunas de las medidas más comunes que pueden realizarse para estar un poco más seguro dentro del mundo digital.
No existe el 100% de seguridad y, más allá de configuraciones técnicas (y a veces aburridas), la entrada se orienta hacia un pensamiento constante en torno a la ciberseguridad, y a los riesgos que pueden existir en la red. La idea no es obsesionarse y aislarse del mundo, si no actuar de forma lógica o, como personalmente me gusta decir, con sentido común.
Desconfianza “por defecto”
En ciberseguridad existe una premisa, primero desconfía, verifica aquello que se está asegurando, y luego actúa en consecuencia. Muchas veces realizamos actos automáticos sin pararnos a pensar en las posibles consecuencias, y esto en un mundo digital lleno de actores maliciosos, nos puede costar caro.
Precaución con los enlaces
Ya sean enlaces por correo electrónico, enlaces en sitios web, imágenes clicables, pop-ups, etc., siempre siempre siempre verificar donde se va a acceder.
En la gran mayoría de ocasiones, dada la procedencia del enlace o dado que sabemos que es confiable, podemos entrar y navegar sin problema (aunque también se puede desconfiar). Aun así, habrá otro porcentaje de las ocasiones donde podemos no estar tan seguros y hay que actuar con precaución.
Verificar que vamos a navegar donde realmente dice que vamos a navegar, y luego buscar información acerca de esa página, son dos acciones que podemos hacer antes de entrar.
Rastreadores de información
Normalmente las páginas web que visitamos no son adivinas y conocen lo que pensamos. Esto se comenta por la forma que tienen ciertos tipos de publicidad en mostrarnos aquello que más deseamos. No es magia ni son adivinos, se basan en lo que ya antes hemos buscado (o incluso, hablado).
Aunque es complicado salir de estos mecanismos de “escucha”, se pueden utilizar bloqueadores de publicidad, seguimiento y contenido. No son más que pequeñas herramientas encargadas de bloquear estos comportamientos. Igualmente se pueden usar navegadores web basados en seguridad y privacidad que, además, usan buscadores orientados a tal fin.
Redes sociales y mensajería
Desde el punto de vista de la ciberseguridad, una mala gestión de las cuentas en redes sociales y aplicaciones de mensajería es un agujero enorme del que no se tiene constancia. Existen suplantaciones de identidad con perfiles falsos para conseguir información bancaria o datos sensibles, se pueden dar enlaces a contenido malintencionado en comentarios de publicaciones, casos de falsas cuentas de soporte con el fin de robo de información, robos de las propias cuentas, etc.
Por si fuera poco, las redes sociales también son un problema en cuanto a privacidad de los usuarios. En algunas ocasiones, se tienen cuentas abiertas a cualquier usuario de la red o incluso a Internet, exponiendo información o imágenes personales. Aunque no se crea así, cualquier información del mundo digital pública, nos puede perjudicar enormemente.
¿Qué acciones podemos tomar? Como se viene comentando, en primer lugar, dudar de cualquier tipo de comunicación o contenido que no sea identificado. Igualmente, permanecer siempre alerta a nuevos eventos de inicio de sesión. Por último, destacar la importancia de la privacidad, no exponerse públicamente si no es realmente necesario.
Nadie regala nada
El título que da nombre a este bloque me parece realmente acertado en el mundo digital y sus posibles actores maliciosos. No siempre se trata de infectar con un virus el dispositivo, si no obtener información o atraer a usuarios para obtener una finalidad, normalmente, conseguir un beneficio monetario.
En este sentido, existe una conocida frase muy acertada que dice, “si es gratis, el producto somos nosotros”.
Evitar redes WiFi-abiertas
Las redes WiFi-abiertas pueden ser de ayuda en ciertos momentos en los que necesitamos una conexión a Internet. Aun así, en los últimos tiempos han adquirido un carácter malintencionado por la facilidad que supone el robo de información en ellas.
Bajo estas redes, un ciberdelincuente puede ser capaz de “ubicarse” en mitad de la comunicación entre nuestro dispositivo y el servidor final, robando toda nuestra información.
Por ello, es importante huir de este tipo de redes, incluso aunque pensemos que son legítimas. En estos casos es preferible disponer de una conexión de datos móvil personal. En aquellos casos donde se inevitable tener que conectarse, siempre se podrá utilizar una VPN haciendo que el tráfico este encriptado y no sea legible.
Compras en Internet
Las ofertas en Internet existen continuamente. Multitud de portales compiten por ofrecer los mejores descuentos vendiendo productos incluso por debajo de su coste. No nos engañemos, estas empresas nunca pierden.
El objetivo es atraer a los usuarios y tratar que, además de comprar el producto en oferta, también se compren otros productos. Eso no es malo si no se “pica”, el problema es que otros portales venden los productos con el objetivo de conseguir datos personales y poder venderlos externamente. Cuidado con este tipo de compras porque a veces, merece la pena pagar un poco más y conservar la privacidad.
Protege tus cuentas
En Internet existen multitud de sitios de diferente índole donde darse de alta para acceder a determinados servicios. Normalmente, estos sitios web nos preguntan por nuestros datos personales almacenando esta información en sus repositorios.
Hasta aquí todo bien pero, ¿qué ocurre si se filtran mis datos? ¿qué sucede si la contraseña que he introducido también la uso en otros portales web?
Estas casuísticas son más comunes de lo que se piensa y es una de las formas que tienen los malos para hacerse con el control de nuestras vidas digitales. Ante esto, no se puede negar a abrir una cuenta en un sitio web (aunque si se debe valorar si realmente es necesario), pero si hay que protegerse en consecuencia.
Doble factor de protección
La configuración de un doble factor de protección para la protección de la cuenta es considerada como una medida de seguridad incluso más importante que una buena gestión de contraseñas.
Esta medida de seguridad está muy extendida hoy en día, y permite establecer una barrera adicional al primer factor de validación (normalmente, contraseñas). Con ello, “aseguramos” que quien está accediendo a la cuenta es el usuario legítimo y, ante un robo de credenciales, no podrían acceder dado que también es necesario el doble factor.
Como en todo, no es 100% seguro y tiene sus debilidades. Por ejemplo, dadas las posibles vulnerabilidades del sistema de mensajería tradicional mediante SMS, no se recomienda establecer un doble factor de protección mediante esta vía, siendo preferible, la configuración de aplicaciones destinadas a esta finalidad.
Contraseñas
Desde seguridad somos muy pesados con las contraseñas. Siempre estamos recordando cambiarlas, poner mil caracteres, números, mayúsculas, símbolos, etc. Es cierto, no es cómodo, pero también hay que pensar en la importancia de las mismas, donde consideran la primera validación en muchos casos.
¿Cómo conseguimos buenas contraseñas? En este punto veo conveniente resaltar la importancia de los gestores de contraseñas. Pequeñas soluciones que nos ayudan en la administración diaria de las contraseñas y nos facilitan la vida estableciendo una contraseña para cada sitio.
Lo segundo que me gustaría identificar son los lectores biométricos. Cada vez más aplicaciones y sitios web permiten usar biometría como validación. Es una solución totalmente válida e incluso más segura que las contraseñas en muchos casos.
Si nada de esto nos convence, es importante usar contraseñas seguras y, sobre todo, cambiar de contraseña entre los diferentes sitios web.
Mis datos son míos y solo míos
En el mundo digital, la información personal parece tener un valor muy por debajo del que debería tener. Mientras que, en nuestra vida, es posible que seamos algo más estrictos ofreciendo ciertos datos personales, en Internet los solemos dar incluso antes de que nos pregunten. Esto es bastante grave y en muchas ocasiones es una acción automática.
Nuestros datos los gobernamos nosotros, y como tal, debemos tener el control de ellos y no venderlos a coste cero. Se cita esto dado que es el objetivo de muchos ataques, se basa en conseguir la propia información del usuario, para después, tomar otra serie de acciones.
No ofrecer datos personales
Parece evidente que, para evitar males mayores, no se ofrezcan nuestros datos personales, pero esto no siempre será posible. Las páginas web en sus registros suelen hacer un “barrido” de datos, algunas veces abusivos.
Ante esto, debemos tener presente que estamos en disposición de exigir una eliminación y/o modificación de nuestros datos en los diferentes entornos web. Esto se basa, principalmente, en la regulación europea, GDPR, donde cualquier sitio web alojado bajo esta política tiene la obligación de cumplirla.
También especial mención a empresas que nos pueden pagar por nuestros datos. Se han dado casos en los que cambiaban dinero por una lectura de nuestro iris, por ejemplo. Desde el punto de vista de la privacidad, esto es gravísimo y nunca debería ocurrir.
Monitorización online
Siendo bastante parecido a lo ocurrido con los rastreadores, la monitorización en Internet es constante. Ya no solo en sitios web concretos si no en navegadores o sistemas completos. Por ello, es recomendable usar mecanismos de seguridad que impidan este tipo de monitorización como navegadores orientados a la seguridad, buscadores con cierta privacidad o incluso sistemas dedicados a tal fin.
También es importante tratar de bloquear las típicas cookies de terceros o, al menos, leer y seleccionar. No sería correcto aceptar cualquier tipo de cookie de forma automática.
Internet of Thing
Aunque normalmente se le conoce como IoT o Internet de las cosas, nos referimos a todos aquellos dispositivos del hogar conectados a Internet. Altavoces, televisiones, lavadoras, neveras etc., en los últimos años todo está conectado a Internet con la finalidad de ofrecer un mejor servicio.
En este contexto, cualquier dispositivo puede ser vulnerado y no debemos esperar a que nuestro robot aspirador nos siga por la casa. La finalidad en este sentido es clara, revelar nuestra información más confidencial, escucharnos, vernos o seguirnos para saber cómo vivimos.
Especial atención tienen aquellos dispositivos que siempre están a la escucha. Ofrecen un buen servicio, pero hay que tener en cuenta que están constantemente grabando nuestro entorno.
Ante este tipo de escenarios, sentido común y valorar si nos merece la pena que el lavavajillas tenga conexión a Internet. Si es necesario, siempre seguir las indicaciones de fabricante.
Métodos de pago
Introducir, por ejemplo, una tarjeta de crédito en un sitio web para realizar una compra, no tiene por qué ser algo malo, pero si delicado. Es totalmente desaconsejable introducir la tarjeta que vinculamos a nuestra cuenta corriente donde nos pagan la nómina y tenemos nuestros ahorros, en un sitio web. Igual que cuando vinculamos la cuenta bancaría con nuestro dinero en sistemas de pago. Nunca se debería hacer esto.
En lugar de ello, se pueden utilizar tarjetas de prepago destinadas a este tipo de compras en línea, o incluso, cuentas bancarias donde traspasar el dinero. Pero es importante no dar nuestros datos bancarios a sitios web que luego pueden sufrir una pérdida de datos.
Protección dinero digital
Algo muy específico pero que en los últimos años se está extendiendo cada vez más, es el dinero o moneda digital. Activos, normalmente, basados en blockchain que pueden comprase con dinero FIAT. Hablamos de Bitcoin, Ether, Cardano, y todas aquellas monedas digitales.
Este dinero también es altamente recomendable protegerlo y no solo limitarse a comprarlo y reservarlo en un Exchange. Lo óptimo es disponer de una cartera fría o cold wallet. Esto es, tener la clave privada de nuestro dinero en nuestra propiedad y no conectada y expuesta a Internet constantemente
Serie de hábitos de seguridad
Bajo este apartado se quieren apuntar una serie de hábitos de seguridad que pueden resultar interesantes en el día a día. Combinados con un pensamiento crítico en ciberseguridad, será un poco más difícil que estemos afectados por un problema mayor.
Aplicar siempre actualizaciones
Mantener los sistemas siempre actualizados es importante para aplicar las últimas correcciones de seguridad desarrolladas por los fabricantes. Siempre que sea posible, no retrasar este tipo de acciones por mucho tiempo dado que implementan una serie de mejoras en seguridad importantes.
Igualmente, los sistemas o dispositivos tienen un ciclo de vida en cuanto a dichas actualizaciones. Pueden ser tres, cinco o más años, pero también es importante tenerlo en cuenta, dado que al terminar este soporte el dispositivo se queda vulnerable a nuevos ataques.
Antivirus
Los antivirus o antimalware son piezas importantes dentro de cualquier sistema. Aunque como hemos visto no son suficientes por sí mismos, ayudan bastante en la detección de amenazas y bloqueo de estas.
Además, dependiendo de la finalidad, suelen ofrecer herramientas adicionales que nos pueden servir como ayuda para otras tareas de protección.
Mantenerse informado en ciberseguridad
Aunque es complicado estar siempre al día en cuanto a amenazas nuevas, es recomendable, al menos, tener en consideración las alertas o eventos que nos vayan informando al respecto.
Los organismos de seguridad del Estado hacen una importante labor en este sentido, informando de nuevos ataques y avisando globalmente. Igualmente, existen multitud de medios como este blog donde podemos encontrar información al respecto y mantenernos al día.
