Seguridad en tiempos hiper conectados

Mi especialidad no es la seguridad informática. No es mi trabajo. Pero, laborando hace un poco más 20 años en el mundo del desarrollo de software, me he convertido en una persona consciente respecto al trato de mis datos personales, y laborales, en la red, y de los peligros que esa información y su mal manejo pueden traer.

Es que desde hace poco más de 20 años también, y tan solo con una pausa de unos seis meses de trabajo de oficina tradicional en medio por allá por el 2005-2006, he desempeñado mis labores profesionales de forma remota.

Fortuna.

Creo que por esto tengo un poquitín más de experiencia que otros que, por la pandemia, se han visto enfrentados al trabajo remoto.

Bueno si, también: por lo viejo. Más sabemos por viejos que…

Todo lo que he aprendido en torno a la seguridad informática para mortales durante estos años, podría servirle a alguien más. ¿Por qué no compartir esos conocimientos?.

Gracias desde ya a mi familia, que soportaron una conversación al respecto en la sobremesa, y amigos cercanos (nerds) a los que les envié mis no-breve notas que tomé luego de darle vueltas a esto por un par de días. Me dijeron que no estaba tan mal lo que escribí en esas notas, y que sería bueno el publicarlas y compartirlas. De ellos entonces es la culpa que estén leyendo esto.

Por extenso que se vea, créanme, es solo un resumen de lo que deben tener en mente cuando vivan, trabajen y se diviertan digitalmente.

Sin más preámbulo comparto humildemente con ustedes:

20 preceptos de seguridad en la era digital. Edición 2020.

1º: Nadie está libre.

Nadie está libre de ataques y/o accidentes-desastres informáticos. La preparación que haces no es exclusivamente para prevenirlos. Es, también, para mitigar consecuencias de cuando seamos víctimas de uno, directa o indirectamente.

¿No lo crees así?.

Te enteras de un hackeo a una entidad bancaria donde eres cliente, o de un servicio de email del que eres parte. No tuviste que ver en ello (espero), pero serás afectado por ese ataque, sin duda.

Luego de muchos años de vida útil, el disco duro de tu equipo, el único con toda tu información vital, se quema. Deja de funcionar simplemente. Pasa. Por años de vida. Por temperatura. Por mala suerte. No lo querías. No lo provocaste directamente. Pero, si no tienes esa información que guardabas ahí copiada en otro lado, ese disco duro muerto es ahora un desastre informático.

Es lo primero que debes asimilar: te va a pasar algo malo en tu vida digital. Mientras antes lo aceptes, más rápido aprendes a prevenir y mitigar desastres.

2º: Protege tu información.

Protege tu información personal y privada. De ti mismo, si es necesario.

Muchos ataques específicos a una persona comienzan con ingeniería social. Sabiendo y recopilando datos que no deberían saber de ti, como edad, tu dirección, tus fonos, tu id social a.k.a. carnet, tus direcciones de emails, tus estudios, tu familia y sus ocupaciones, etc. es más sencillo realizar un ataque digital dirigido.

Está bien compartir algunas cosas que haces en redes sociales. Si es lo que te gusta, bien por ti. Pero a nadie debería importarle cada momento de tu vida, más allá de a ti mismo, y a un puñado de cercanos muy cercanos.

Piensa tres veces antes de subir información tuya a la red.

3º: La impermanencia.

Los datos digitales no difieren de cómo funciona el resto del universo en su núcleo. También son impermanentes.

Nadie te asegura que un email gratuito (como gmail, hotmail, yahoo, melacorneta, etc.) estén contigo por siempre. El proveedor puede terminar de prestar el servicio unilateralmente.

Nadie te asegura que un email pagado esté contigo siempre. Igual que el gratuito, depende de un proveedor que puede terminar de prestar el servicio unilateralmente.

Incluso si alojas tu propio servidor de correo, aquel servidor puede fallar. O puedes perder el dominio que alojan los emails.

Ahora extiende esto a cualquier servicio digital que uses: herramienta de trabajo, red social, entretenimiento, etc. Todos ellos, por diversos motivos, pueden dejar de existir algún día y, con ello, llevarse meses u años de datos valiosos para ti.

Esto nos lleva a…

4º: Respaldar.

Si vives de los datos que guardas y gestionas en tus equipos, deberías respaldar esos datos.

Los equipos no son eternos. Se queman, se pierden, son robados, explosionan discos duros con fotos familiares sin respaldar, son bautizados por una taza de café, etc. Si solo mantienes una única copia de tus archivos importantes en el equipo que usas para trabajar o estudiar, y nada más, estás haciéndolo mal.

Aprende la regla de tres para los respaldos: dos “físicos”, y uno en “la nube”. El de la nube, cifrado si lo consideras necesario (ver: Cryptomator, VeraCrypt, Boxcryptor).

Y automatízalos si es posible. Un respaldo que no se hace, no sirve.

Tanto Windows 10 como macOS tienen herramientas por defecto para ello. Windows 10 cuenta con Windows Backup and Restore (Copias de Seguridad en español). macOS tiene a Time Machine. Estas utilidades hacen respaldos habituales en unidades externas y te recuerdan conectar ese disco externo para actualizar el respaldo cada ciertos días. Linux cuenta con un sin fin de herramientas para lograr algo similar.

Respalda tus emails. Y automatiza el proceso si puedes.

Si no, recurre a una calendarización de los respaldos que te recuerde hacerlos en forma periódica (como te acomode a ti: una vez al mes, dos veces al año, una vez al año).

En el caso de Gmail, puedes usar Takeout para bajar todos tus datos, emails incluidos.

Si saben como, para Gmail también existe gmvault.

O pueden optar por servicios externos como DropMyEmail para todo tipo de correo.

5º: El dilema de las contraseñas.

Somos humanos. No deberíamos estar memorizando contraseñas. Nuestra memoria es frágil. Tenemos un cerebro que está a un golpe, o una enfermedad, de olvidar todo lo que contenía. Tampoco deberías estar repitiendo la misma contraseña en diversos sitios o servicios. Si uno de ellos filtra (por error o no) tu contraseña, es game-over para el resto de los servicios donde uses la misma contraseña.

Utiliza un administrador-gestor de contraseñas para guardarlas y generarlas cuando necesites una nueva.

Solo deberías recordar dos contraseñas: la de tu email principal (personal) y la del gestor de contraseñas.

Recomendación personal de administrador de contraseñas:

Si sabes como (instalar, usar, sincronizar entre equipos, respaldar la db), el combo KeePassXC y KeePassDX en Android, ambos open-source y gratuitos. Este mismo combo lo pueden completar con Strongbox en iOS.

Si eres un usuario normal no-nerd y no quieres complicarte con cosas como la sincronización, entonces solo puedo recomendar Bitwarden. También es open-source, gratuito para uso personal, auditado varias veces y parte del programa HackerOne. Muy seguro.

Existen otras alternativas que no puedo recomendar por su naturaleza cerrada y desconocida en el manejo de datos. Si bien ellas cuentan con textos oficiales y legales sobre su infraestructura, uso y tratamiento de datos, nunca sabrás cómo realmente funcionan por debajo. Es su palabra y nada más. Tendrás que confiar en lo que ellos dicen. De todas maneras, como dicen por ahí: es mejor usar un gestor de contraseñas, a no usar ninguno. Si ya utilizas uno, entonces continua haciéndolo, por favor.

Deja que el gestor de contraseñas guarde todos tus accesos. Todos con contraseñas distintas. El gestor luego, una vez desbloqueado (cuando uses tu computador y/o fono), rellenará el usuario y password de ese sitio o aplicación, con los datos que tu le digas que use para conectarte a ese servicio.

En tu navegador, usa la extensión de Bitwarden que, una vez desbloqueada, te permitirá clickear y auto-completar con tu usuario y password en cada item que tienes guardado, mientras ese item tenga la URL bien almacenada para coincidir con el dominio que está viendo.

En tu móvil, Bitwarden debería sugerirte auto-completar apenas presionas un campo de password en un sitio o aplicación, con un popup. Tanto iOS y Android en sus versiones recientes soportan auto-completar para gestores de contraseñas. Configúralo.

Evita usar el copiar-pegar tus contraseñas. El porta papeles de los sistemas operativos no es seguro. Windows. iOS. macOS. Android. E incluso si los desarrolladores han implementado medidas de seguridad para evitar el acceso irrestricto al porta papeles, un malware se puede camuflar de un app que pareciera seguro y, como ese app, pedirte permisos para ver el porta papeles. Muchos caerían ante eso.

Privilegia las funciones de auto-completado de datos de acceso al click/tap que ofrecen los gestores de contraseñas (con la extensión de navegador y los apps móviles). Siempre.

El correcto uso de un Password Manager también ayuda a evitar caer en ataques del tipo Phishing. Cuando un atacante copia el look de un sitio web real, pero lo sube a un servidor y dominio distinto, y donde el atacante espera que la víctima ingrese su usuario y contraseña en ese sitio falso para capturar esos datos y robarlos. Al usar un Administrador de Contraseñas, aunque la URL del Phishing sea muy similar a la URL del sitio verdadero, un Passwords Manager no ofrecerá el auto-completar el usuario y password. En ese momento debes dudar y considerar si estás realmente en el sitio correcto o no.

Deja que el gestor de contraseñas genere contraseñas seguras por ti. No tienes que inventarlas. No somos buenos para randomizar. Somos predecibles, dijo el Oráculo y el Arquitecto.

Si un día se hackean un servicio que tu usabas, y el servicio te dice que debes cambiar tu contraseña porque no es segura, respirarás aliviado: sabrás que no usabas esa contraseña en ningún servicio más que ese. Ni siquiera la conocías. Dará lo mismo entonces si un tercero conoce esa contraseña aleatoria usada solo en ese servicio vulnerado.

Si usas Bitwarden (u alguna alternativa como LastPass, Dashlane, 1Password o EnPass), respalda una vez al mes tu bóveda localmente. Casi todos estos servicios de gestores de contraseñas tienen sistemas de exportado de tus cuentas en ellos. Guarda el contenido (un csv, excel, json o como venga) compreso en un zip con una contraseña segura… por último. Mejor: en una bóveda local como las mencionadas en el punto cuatro para respaldos en la nube.

¿Cómo generar las dos contraseñas que debes conocer? (email y gestor de contraseñas).

Usando la lógica, muy bien explicada por XKCD, de las frases largas y sin sentido. Una frase larga y sin sentido (pero con algún sentido para ti, para poder recordarla) es una mejor contraseña que una del tipo s0yh4x0r.

Ejemplo: quiero comer metal con tontito albino

Recuerda, debe hacerte sentido a ti nada más.

Pueden probar sus ideas de contraseñas en un servicio como este.

Si crees que tu memoria podría fallar (con la edad lo hará), escribe tus dos contraseñas de confianza (email y gestor de contraseñas) en papel, y guárdalas tan seguras como creas posible. En serio. Para eso existen cajas fuertes. O rincones de tu casa que solo tu conoces. El papel donde las escribes no debe anunciar que son contraseñas. Solo tu lo sabrás. De nuevo, nuestro cerebro está a un accidente o enfermedad de olvidar cosas relevantes como estas.

6º: Autenticación de dos pasos 2FA

¿Qué pasa si alguien captura y te roba la contraseña de un servicio crítico?. Con tu login, un desconocido normalmente podría acceder sin problemas a ese servicio.

Entra la autenticación de dos pasos, 2FA.

Una vez activada la autenticación de dos pasos en un servicio, cuando te conectas a el (con tu usuario y contraseña), el sitio solicitará un código temporal aleatorio, que será enviado a tu email asociado o que es generado por una aplicación específica para manejar códigos 2FA.

Por tanto, si alguien roba tu acceso a un servicio donde tienes el acceso 2FA activado, aún con ese combo de login/password, esa persona no podrá entrar a ese servicio sin el código que recibirás por email o que generarás a través de una aplicación de 2FA.

Al menos en tu email principal personal y en el gestor de contraseñas que elijas usar, deberías estar usando la autenticación de dos pasos siempre.

Todo servicio crítico del que tu trabajo dependa, también deberías manejarlo con 2FA para esas cuentas.

Apps para manejar códigos 2FA: Google Authenticator (Android, iOS), Authy (Android, iOS, Desktop), Aegis Authenticator (Android), Tofu Authenticator (iOS), Microsoft Authenticator (Android, iOS).

Si eres nuevo en esto del 2FA, recomendado usar uno sencillo, y con posibilidad de sincronizar un segundo dispositivo fácilmente, como Authy.

¿Por?.

Si bien al activar 2FA en un servicio estos generalmente permiten imprimir y guardar un set de códigos de emergencia en caso que no tengas acceso a tu equipo con los códigos 2FA, set que por cierto deberías “imprimir” (copiar-pegar) y guardar en tu gestor de contraseñas (junto al login de ese servicio), no siempre es posible acceder a esos códigos de respaldo de forma inmediata.

Entra un respaldo (otro respaldo): si es posible, asegúrate de contar con un segundo dispositivo móvil (algo sencillo, no tiene que ser todo gama alta) con tu app de códigos 2FA configurada 1:1 igual que tu equipo principal, pero guardado en casa, apagado, con alguna contraseña de acceso configurada (en caso de robo). Si te roban, se te pierde o “muere” tu equipo principal, podrás siempre echar mano a los mismos códigos 2FA en ese fono de respaldo en caso de emergencia, y así no perder el acceso a tus servicios críticos.

Authy es excelente para principiantes en este aspecto, permitiendo la sincronización de códigos 2FA entre dispositivos con previa confirmación en otro equipo antes configurado.

Es más: en ese segundo dispositivo de respaldo que guardarás escondido por ahí y apagado, seguro, conecta también tu gestor de contraseñas. Tendrás un respaldo usable de el mismo ahí también, en caso de emergencia.

Por cierto…

Existe la autenticación de dos pasos vía SMS. Algunos servicios lo permiten. Evítala si te permiten usar otra forma de 2FA. Privilegia el 2FA vía email o, mejor aún, usando uno de los apps mencionados para 2FA en tu fono.

¿Por qué?.

Los números de fono se pueden clonar o simplemente te pueden quitar, temporalmente, tu número de fono para un ataque como estos. Siendo los números de fono vulnerables a otros ataques, como el de suplantación de identidad, es mejor evitar usarlos como 2FA si es posible.

Pero.

El 2FA no es invulnerable. Existen ataques contra este mecanismo de seguridad. Pero son elaborados. Generalmente apuntan a personas muy, muy importantes, o que manejan información de interés en esas cuentas protegidas con 2FA.

Un tipo de ataque conocido contra el 2FA es uno del tipo MITM. Imagina que entras a un sitio y que tu navegador dice que estás en la URL correcta, que el sitio es 100% igual que el que recuerdas, tal como debería ser, ninguna alerta roja. Hasta tu gestor de contraseñas te ofrece auto-completar tu usuario y contraseña. El pero es que no estás en ese sitio o servicio en realidad. Estás en una copia 1:1 muy elaborada, y han comprometido tu hardware o la red desde donde te conectas. El atacante no solo interceptará tu contraseña, también tu código 2FA y lo usará para ingresar inmediatamente con tu cuenta al servicio en cuestión (al verdadero).

Si no eres un VIP y/o no manejas información extremadamente relevante, es poco probable que seas blanco de un ataque así.

Si crees que podrías serlo, tus alternativas son reforzar la seguridad con llaves físicas de seguridad, que portarás contigo en todo momento, tal cual como las llaves de tu casa. Ver: Yubico Yubikey, Google Titan Key, Kensington VeriMark FIDO, Tethis FIDO, etc.

7º: Sospecha de mensajes extraños.

Ten cuidado con todos los emails y mensajes que recibes. Son puerta de entrada principal de ataques actuales.

Emails desconocidos, sospecha. Emails conocidos y extraños, sospecha también. Las direcciones de email se pueden falsear (spoof) y podrías estar recibiendo un correo que crees que es una persona, cuando no es así.

Un contacto tuyo, tanto en un email como en un app de mensajería, podría enviarte algo y no ser realmente el quién lo hizo, si no un malware que ya contagió el equipo de esa persona. Malware que se auto-envía para poder seguir replicándose.

En Windows, asegúrate de configurar el explorador de archivos para que muestre las extensiones de los archivos siempre. Eso debería ayudarte a levantar una alerta mental cuando veas una supuesta fotografía que se llame gatitos.jpg.exe. Spoiler: aquello no es una fotografía.

Ante la duda de si una extensión es lo que dice ser, búscala. Busca qué es la extensión .exe, y sabrás que es un archivo ejecutable de Windows. ¿Un ejecutable?, algo que corre, que se puede instalar si quiere. No suena a una foto o video, ¿cierto?.

8º: Cambia tus claves de acceso.

Si en tu trabajo o casa de estudios te asignaron una cuenta de algún servicio para tu uso personal (mientras eres parte de la institución), y te entregaron una contraseña directamente, cámbiala apenas la recibas.

Si alguien te la envió, ya no solo la tienes tu, y debes asumir que más gente podría tenerla también.

Enviar o recibir contraseñas por email, aunque sea el institucional, no es seguro.

Mucho menos lo es recibirlas por un servicio de mensajería. Ni hablar.

9º: Cifrado de disco.

¿Mencioné los robos ya?.

Si roban tu equipo de trabajo (móvil o de escritorio), ¿qué pasaría si un NN tiene acceso a lo que tenías dentro?.

Piensa en tus trabajos, tus documentos, tus cookies en el navegador, el código de tu trabajo (en mi caso), accesos, llaves ssh, etc. Estarías dejando todo eso crítico a merced de ese desconocido.

Windows 10 Pro (lamentablemente no la versión Home) tiene un cifrado de disco integrado a el, BitLocker.

macOS cuenta con FileVault para cifrar todo tu disco.

Si estás en Linux, hay muchas opciones al respecto (y probablemente las conozcas).

Android e iOS usan cifrado de almacenamiento por defecto. Ojo con los dispositivos Android con microSD y lo que guardas en esa memoria. El cifrado ahí dependerá del fork de Android que implemente el fabricante.

Cifra el almacenamiento interno de tus equipos. Si los amigos de lo ajeno te separan de tus equipos, tu digestión y tus horas de sueño te lo agradecerán.

10º: Bloqueo de anuncios. Y malware.

Un vector cada vez más frecuente de ataques a equipos, es el servir malware a través de la web. Generalmente, usando publicidad. Con avisos fraudulentos o botones engañosos (los típicos “descarga aquí y ahora, llame ya!”) sirven enlaces con descargas que simularán en lo posible ser parte de algún software legal (algo que esperas bajar) pero que finalmente no era más que un malware encubierto.

Bloquear la publicidad en internet ayudará a mitigar considerablemente la posibilidad de encontrarse con un vector como el mencionado.

Es más: estos bloqueadores de anuncios hoy en día mantienen listas de bloqueo de dominios que se sabe que distribuyen malware, directamente. Beneficio dos por uno.

Recomendado en navegadores de escritorio: uBlock Origin.

Para equipos móviles pueden usar alternativas a nivel de DNS/VPN como Blockada o DNS66.

A nivel de hogar, si saben como configurar algo así: Pi-hole o Diversion.

11º: Evitar piratear.

Hablando de descargas. Una forma fácil de atacar a inocentes es colocar el malware en algo que esos inocentes desean, y gratis.

Cuando descargas algún software pirata (programa, juego o películas a veces), existe una alta posibilidad de que lo que estás bajando venga con un malware incorporado.

A veces el programa que bajas funciona de todos modos, y quedas feliz. Ignorante y dichoso.

El malware no tiene porque anunciarse. Y no lo hace. Se instala junto al programa, y queda ahí a la espera.

No piratees… si no sabes lo que haces. Dicen.

Prefiere lo legal. Prefiere pagar por tu software. O emplear software gratuito, de fuentes confiables y/o software open-source.

12º: No al login social.

Punto tres, impermanencia. ¿Quedamos de acuerdo en eso?.

Cuando usas los típicos botones de “conéctate con” Google, Facebook, Twitter, GitHub, Apple, etc. estás suponiendo que el proveedor de ese servicio de identificación (Google, Facebook, Twitter, GitHub, Apple, etc.) siempre te dejará usar tu cuenta para ingresar a otros sitios.

¿Qué ocurriría si unilateralmente te dan de baja ese email o cuenta social que usaste para crearte una decena de otras cuentas?.

Por la abulia de no crear otra contraseña, que no debería tener razón de ser si haces caso y aplicas el punto cinco: gestor de contraseñas, terminas perdiendo el acceso a una cuenta que podría pesarte.

Tómate unos segundos extra, y créate una cuenta de forma tradicional (usuario/email y contraseña) en todos los servicios donde se pueda. Ayúdate de tu gestor de contraseñas para guardar ese login, con su contraseña al azar, segura y desconocida para ti.

Asocia tus redes sociales a esa cuenta después si así lo deseas.

13º: No mezclar lo laboral con lo personal.

Tu email laboral no es correo para recibir tu cartola mensual del banco, acceder a tus redes sociales o enviarle emails a tus parientes.

Viceversa. Tu email personal no es para recibir datos críticos de tu trabajo, accesos, documentos importantes, etc.

Esto aplica a todo lo relacionado con lo laboral en lo digital.

Si tu trabajo te provee con un equipo para trabajar, ese equipo es solo para eso. No deberías estar jugando Roblox, ni viendo Netflix, ni accediendo a tu Banco, ni viendo porno con ese equipo.

No mezcles lo personal con lo laboral.

14º: Desconfía de equipos pre-configurados, usados o compartidos.

Cada equipo que no configuraste tu desde un inicio, es posible que tenga dentro algo que no esperabas.

Es muy sencillo espiar a alguien así, metiendo un software malicioso a un equipo antes de entregarlo.

Si compras un equipo usado (escritorio o móvil): formatéalo antes de usarlo.

Más allá: si usas la WiFi que tu proveedor de internet da, asegúrate de cambiar el nombre y la contraseña de esa WiFi apenas puedas. Existen en linea datos de acceso a los routers mas comunes del mercado de los ISP más grandes en cada país. Dejar el nombre por defecto que viene en la WiFi le da información extra a un posible atacante para poder entrar a vuestro equipo de manera remota y, en el mejor de los casos, robarte internet.

No seas como mis vecinos de las WiFi HUAWEI-ENTEL-BXXXX-MODELO o VTR-879XXXXX.

Los equipos compartidos caen en una problemática similar. Un equipo compartido es un equipo usado… por alguien más, aparte de ti.

No podrás saber si la otra persona instaló, por accidente o a propósito, un malware en el equipo.

Si no cuentas con un equipo de escritorio o laptop para ti solo, deberías únicamente hacer uso de esos servicios críticos en tu propio fono. Los fonos hoy en día son de uso personal.

Si necesitas utilizar un dispositivo compartido y no tienes opción, entonces toma ciertas precauciones previas a compartir el equipo:

Si puedes, haz una cuenta administrador del equipo (a nivel del OS) aparte y única. El resto de los usuarios, tu incluido, utilicen una cuenta tradicional sin poder administrativo. Esto podría prevenir la infección por ciertos malware, sobre todo si es de los que se instalan accidentalmente.

Utiliza la autenticación de dos pasos, 2FA, explicada en el punto seis, en todas las cuentas que puedas. De esta forma, incluso si por un malware (accidental o no) tu acceso a un servicio crítico se filtra, ese acceso no servirá de nada sin tu dispositivo(s) de autenticación de dos pasos. Recuerda que no basta la contraseña ahí, también necesitarás proveer del código 2FA para poder conectarte, minimizando el peligro de eventuales filtraciones de tus datos de acceso.

15º: Dispositivos externos.

Otra forma de ataque común es entregar un malware en un dispositivo externo, como un pendrive/flashdrive o un disco duro externo (o un DVD/CD, o un diskette incluso dicen los abuelos, viejos de…).

Lo clásico: un inocente usuario se contagia de un malware en su equipo. Luego, ese inocente usuario te ofrece pasarte un pendrive/flashdrive con el documento que le solicitaste. Si el malware es decente, se copiará por si solo al pendrive/flashdrive. Luego tu recibes ese dispositivo contagiado, lo conectas en tu computador, y el resto es historia conocida.

Pero también existen quienes infectan dispositivos externos apropósito. ¿Por?. Para hacer daño pues, ¿para qué más somos buenos los humanos?.

Si encuentras un dispositivo tirado en el suelo, o un desconocido te regala uno, y tu vas y lo conectas a tu computador así como si nada, estás pidiendo “comerte” uno de esos ataques. Lo estás recibiendo con los brazos abiertos mientras le haces un queque al atacante.

No hay una forma más segura de usar un dispositivo así, encontrado o entregado sospechosamente por un NN, que dándole de martillazos hasta molerlo y luego dejando que tu perro orine sobre el.

Posteriormente, si la curiosidad no te deja vivir tranquilo y de verdad quieres ver dentro de el, deberías usar un equipo “desechable” con Linux instalado.

Claro, este tipo de ataques generalmente es realizado para apuntar a blancos específicos. VIP. Qué tan importante eres para otros como para convertirte en un blanco de un ataque como estos, eso lo debes sopesar tú.

Probablemente si estás leyendo esto, eres tan jureliento como yo, y no le importas a nadie allá fuera. Solo ten presente que este tipo de ataques existe.

16º: Ingresar directo a entidades financieras y sitios vitales.

Cuando tengas que ingresar al sitio de tu banco, alguna entidad financiera o un sitio crítico (como tu email o el gestor de contraseñas que uses), escribe directamente la dirección del sitio en el navegador. Con la extensión de dominio y todo.

No uses el buscador (Google, Bing, Duck Duck Go, Altavista) asociado a tu navegador para buscar el sitio y luego entrar.

Los resultados de búsqueda pueden ser manipulados por terceros. Podrías estar entrando a un elaborado phishing, y estar entregando tu usuario y contraseña a un tercero.

17º: Redes WiFi públicas o poco confiables.

Existe la posibilidad de “ver” el tráfico en una red. El administrador de esa red, o una persona con conocimientos suficientes, podrían estar espiando y viendo lo que los usuarios dentro de la red están haciendo.

Una WiFi pública en ese sentido es un peligro inminente. Si tienes que usar una, solo debería ser para fines de entretenimiento. Nunca para acceso a servicios críticos.

Pasa también que un administrador de una red privada grande, como el de una mega-empresa, o una universidad o instituto, o un usuario con conocimientos dentro de esas mega-redes, podría estar monitoreando lo que hacen los usuarios conectados a esa mega-red.

También entran acá las WiFi semi-públicas. Una red WiFi de un avión, un bus, por ejemplo. Si claro, tienen un password de por medio, pero el password es sabido por todos los otros NN que estarán junto a ti en aquel momento.

Si debes utilizar una red de internet no segura, asegúrate de emplear un servicio de VPN primero. Una VPN confiable, claro. Minimizarás el riesgo de estar metido en medio de un ataque MITM.

¿Qué red es segura?.

En teoría: la de tu hogar y tus datos móviles.

Que pequeño el mundo es.

18º: Software al día.

Muchos de los vectores de entrada de ataques, que no sean sociales, dependen de que el blanco tenga versiones del software vulnerables, con bugs conocidos.

Se minimiza en un porcentaje muy grande el riesgo a caer en un ataque, si mantienes el software que usas al día.

Así de simple.

Mantén tus programas/apps y tu sistema operativo actualizado, y podrás vivir un poco más tranquilo en este sentido.

Windows 10 hoy en día se actualiza por si solo, a menos que a propósito desactives las actualizaciones automáticas, cosa que no deberías hacer. macOS también. Linux, generalmente es un también, ustedes saben.

Mantén tu anti-virus al día. En Windows 10, Windows Defender (o como se llame hoy) es más que suficiente en este año 2020. En serio. Y se actualiza por si solo junto con Windows. Si no confías en el, alternativas buenas son: Malwarebytes, Kaspersky, Bitdefender. En sus versiones gratis o de pago si puedes. Nunca piratear un anti-virus (ver punto once).

Usuarios de Android: mucho ojo con las actualizaciones. Desafortunadamente los diversos fabricantes de fonos usan forks de Android que no son actualizados tan frecuentemente como deberían. Revisen las actualizaciones de seguridad en sus equipos. Deberían ser recientes. Idealmente la versión de Android también debería serlo, pero no es así. Solo tendrán una versión nueva de Android siempre, si cuentan con un teléfono Pixel de Google.

Si tu fono está en una versión muy antigua de Android y el patch-level de seguridad sigue siendo muy viejo, considera apoyar a un fabricante con un mejor registro de actualizaciones.

Software al día es software, en teoría, más seguro.

Para los que puedan: si tú trabajo depende de emails y mucho navegador, si no necesitas programas cómo MS Office o la Suite de Adobe para trabajar, si puedes reemplazar ese uso de oficina por Google Docs o Libre Office, y si no juegas con tu computador (Windows sigue siendo el rey en este sentido), entonces mueve tu estación de trabajo a Linux. Ubuntu o Elementary OS, por ejemplo. Hoy en día es muy sencillo trabajar con distribuciones como aquellas y, al hacerlo, reduces casi a cero la posibilidad de ser víctima de un virus. Tradicionalmente ellos están hechos para atacar plataformas populares, Windows y macOS. Linux es un tema más complejo de vulnerar. Lógicamente, estando al día también. Actualizaciones, siempre.

19º: Sentido común.

El sentido común es el mejor anti-virus.

Claro está, primero debes ser educado respecto a los peligros del mundo virtual. Para eso era este artículo.

Ahora que le has dado una pincelada a los problemas de seguridad más frecuentes y como prevenir y mitigar sus consecuencias, practica el sentido común al hacer uso de lo digital.

No hay mejor anti-virus que uno mismo, el usuario.

Si no clickeas donde no debes, no bajarás un malware por accidente. Si no pirateas, no te infectarás con un malware metido en un programa ilegal. Si mantienes tu software al día, bajas las chances de ser atacado por un malware que use bugs conocidos para ingresar a tu sistema. Si revisas las extensiones de los archivos adjuntos en un mail, sabrás que no todo lo que dice ser un video o una imagen lo es realmente. Si usas un gestor de contraseñas, no sufrirás cuando se hackeen un servicio del que eras parte y donde tenías cuenta. Si respaldas habitualmente tus datos críticos, cuando te ocurra un accidente y/o ataque, podrás dormir tranquilo en la noche sabiendo que no perdiste datos críticos por siempre.

Respiren hondo y usen la cabeza antes que los dedos.

20º: Impriman algunas de sus fotos.

Impriman en papel sus fotos familiares. Recuerdos importantes que tengan en imágenes. Algunas de esas fotos al menos, y guárdenlas en álbumes seguros.

Así, cuando el apocalipsis viral acabe con el 90% de la población humana, o la mega llamarada solar que vendrá nos deje sin electrónicos y nos devuelva como civilización a la edad media, tendrán un recuerdo brevemente más duradero que el de su memoria, para rememorar y sonreír agradecidos con el universo por haberles otorgado esa oportunidad de conectarse con otros seres, antes de devolverse a las estrellas.

8 respuestas a “Seguridad en tiempos hiper conectados

  1. excelente! completo y claro… está faltando un poco de educación digital, especialmente en seguridad, la gente está heredando los dispositivos y las tecnologías pero pocos toman resguardos de la información que comparten o que hacen circular por la red….

    macoy123

    😀

    Le gusta a 1 persona

Agregar un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s