ciberseguridad llave
Ciberseguridad

Ciberseguridad personal en tiempos de covid

Carlos Dams

Desde el inicio de la cuarentena, algo que dio a pensar a muchas personas es la protección de los datos. Al ser algo lucrativo, cada vez hay más criminales que se dedican a conseguir datos, tarjetas de crédito y cualquier información con la que puedan extorsionar a sus víctimas. 

Según un informe de Fortinet para la primera mitad del año, Argentina sufrió más de 270 millones de intentos de ciberataques, en particular yo recibí varios emails con contraseñas viejas que ya no usaba pidiendo dinero en bitcoin, así como los típicos emails phishing donde te piden que revises tu cuenta, que compruebes operaciones en diferentes plataformas, etc. Abordaré algunos casos cotidianos y tips en las siguientes secciones:

Administración de contraseñas

Lo peor que un usuario puede hacer es usar la misma contraseña en absolutamente todo. El usuario común de internet usa el homebanking, email, foros, plataformas e-commerce, webs gubernamentales, blogs y otros websites que te piden que te registres para poder disfrutar de los servicios. Por lo que al menos debes tener una contraseña para los bancos y otra para los emails personales, las cuales no usarás en otros sitios web. Los emails son de mucha importancia ya que normalmente puedes restablecer contraseñas de otros sitios con el mail principal registrado y es la única que recomiendo memorizar y nunca usar en algún otro sitio web. Luego está la situación de que cada sitio web tiene sus propias políticas para las contraseñas y no deberías usar la misma contraseña de los emails en muchos sitios, aquí es donde un buen Administrador de Contraseñas nos facilitará la vida.

Hay diversas maneras de administrar contraseñas, cada una con sus ventajas y desventajas, estas son importantes conocerlas para ver que se adapta mejor a nuestras necesidades. Una de las opciones más simples y convenientes es usar el navegador de internet para administrar nuestras contraseñas (cuando Google Chrome o Firefox preguntan si quieres guardar la contraseña), sin embargo, tiene como desventaja que cualquier persona que pueda acceder a nuestra computadora podría revisar en el navegador las contraseñas y revelarlas desde ahí, tal como se muestra en la figura 1. También se debe tener cuidado al momento de borrar los datos de navegación de no seleccionar las contraseñas. 

Claves alojadas en Google Chrome
Figura 1. Contraseñas almacenadas en navegador Google Chrome

Luego hay softwares o servicios cuya función principal es almacenar contraseñas, tanto pagas como gratuitas. Algunas destacables son: 1Password, Bitwarden, Dashlane y KeePass. Cada una tiene sus diferentes ventajas y desventajas.

La seguridad de dos factores 2FA

Los bancos y otros sitios web han venido implementando “doble factor de autenticación”, “seguridad en 2 pasos” o “seguridad de dos factores” por sus siglas en inglés 2FA, que básicamente es algo que sabes (una contraseña) y algo que tienes (un número de teléfono, tarjeta de coordenadas, token, etc) que también ha ayudado a mitigar los accesos a sitios web por parte de criminales. Podemos establecer esta función en los sitios web que usemos e incrementará nuestro nivel de seguridad. 

Hoy en día los delincuentes se valen mucho de la ingeniería social para obtener estos datos, un caso hipotético es que estés vendiendo algo por una red social donde colocas tu numero de telefono para que te contacten, entonces un desconocido empieza una conversación por mensajes contigo y te dice que quiere asegurarse de que no está hablando con un robot y te pide que le envies un codigo de 6 números que te llegará al teléfono en pocos minutos. Lo que realmente sucede aquí es que esta persona realizó alguna operación ya sea en tu cuenta bancaria, email, sitio web donde tienes habilitado 2FA y necesita ese código para completar con éxito la operación.

Doble factor de autenticacion
Figura 2. Doble factor de autenticación

Comprobar que nuestra contraseña no está en internet

No es necesario ir a la famosa “Deep Web” para encontrar una contraseña, hay sitios web donde se puede comprobar si alguna contraseña que usamos está a la vista de todos. www.haveibeenpwned.com es uno de los más populares con base de datos de muchos sitios web hackeados.

Ingeniería social y phishing

Hay dos tipos de personas, las que han recibido un email phishing y las que no se han dado cuenta que recibieron un email phishing.

Phishing es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace). Para realizar el engaño, habitualmente hace uso de la ingeniería social explotando los instintos sociales de la gente, como es de ayudar o ser eficiente.

Cuando llegue un email de Netflix, Mercadolibre, Afip, Visa, etc. siempre es mejor desconfiar.

email phishing
Figura 3. Email phishing

Algunas maneras de darse cuenta que es phishing es revisar el remitente del correo (aunque muchas veces los cibercriminales logran hacer aparecer el nombre como el de la empresa original) y ver que los enlaces llevan a sitios web que no son el sitio web original, en algunas ocasiones usan sitios web casi idénticos para que dejes tus datos ahí, por lo que no siempre confiarse con esto. Es mejor no darle click a estos enlaces y en caso de que tengamos dudas si en realidad es la entidad que dice ser, ir directamente a la página web de la empresa desde el buscador, seguramente encontraremos información relacionada al email en caso de ser cierto.

Email falso para phishing
Figura 4. Ejemplo de remitente en un email phishing

Backup

Los Backups, copias de seguridad o respaldos siempre los dejamos como última prioridad y nos damos cuenta que los necesitamos cuando es demasiado tarde.

Siempre es necesario tener un respaldo de nuestros archivos más importantes y se recomienda usar la regla 3-2-1. Como indica su nombre: 

  • Tener 3 copias de seguridad de nuestros datos: adicional a un backup en nuestros datos primarios, tener al menos 2 respaldos más.
  • Almacenarlas en dos medios distintos: Además del disco duro principal, usar un medio distinto como un DVD, pendrive, disco externo, etc.
  • Tener un backup en un medio externo: mientras más alejado esté de nuestro entorno diario mejor, las soluciones cloud son excelentes para cumplir con este punto de la regla.

Actualizaciones del sistema, antivirus y aplicaciones

Importante tener el sistema y los programas actualizados ya que todos los días se descubren vulnerabilidades que los delincuentes pueden aprovechar. Sistemas operativos como Windows vienen como un antivirus integrado, este también es necesario actualizarlo frecuentemente.

Conclusión

Todos estos consejos pueden sonar tediosos e inconvenientes, sin embargo, recordemos que así es la seguridad en general, usualmente es lo opuesto de que algo sea conveniente pero nos ahorrará muchos dolores de cabeza a futuro. 

Ingeniero de Seguridad informática, Administrador IT, anteriormente docente de tecnología, apasionado por la ingeniería y como aprovechar la tecnología para nuestro beneficio

Artículos relacionados

SSH public and private key pair
Ciberseguridad Linux

Generar claves SSH seguras fácilmente

Carlos Dams
AWS CF and pfSense
AWS Ciberseguridad CloudFormation

CloudFormation template para pfSense y conexión con OpenVPN

Carlos Dams

One thought on “Ciberseguridad personal en tiempos de covid

  1. Pingback: Administradores de contraseñas - EducacionTech

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *