Hola Hivers y miembros de la Geek Zone.
Hoy les traigo una serie de recomendaciones para proteger nuestra identidad en internet. Quizás para algunos sea algo ya incorporado en su día a día y otras muchas personas sientan que no lo necesitan.
Pero no solo la información que les traigo es necesaria, sino que además muy útil para quienes se inician en el acceso al espacio digital.
Los pongo en contexto, Internet llegó a la vida de los cubanos de golpe y, además, con casi dos décadas de retraso.
En los programas educativos del mundo se insertaban clases para enseñar los aspectos básicos de la seguridad de los datos personales en internet. En cambio, en las escuelas cubanas el plan de estudio se enfocaba (y aún lo hace) en enseñar a encender y apagar una PC, a crear y aguardar un documento Word o dibujar con el paint. Eso, si tenías la suerte de que tu escuela tuviera computadoras funcionando.
Te doy esta introducción para que comprendas el por qué muchas personas en mi país son víctimas de situaciones indeseadas. En Cuba, como en el resto de mundo, si eres un usuario normal, puede darse el caso de que pases tu vida en Internet sin sufrir nunca un ataque.
Por otra parte, si eres activista social, reclamas algún derecho humano, defiendes lo justo o dices una verdad incómoda, tarde o temprano terminarás siendo marcado como objetivo.
A pesar de que desde diferentes frentes de la sociedad civil independiente se ha promovido información sobre la protección de datos, aún el camino por recorrer en la educación en seguridad informática es largo. No obstante, a pesar del desconocimiento o descuido que puedas tener, quiero que sepas que no eres culpable de nada. Si sufres un ataque, eres la víctima.
Hace dos semanas le sucedió a una joven fotógrafa cubana. Ella fue hackeada y perdió el acceso a sus cuentas de correo desde donde accedieron a las imágenes de sus sesiones de fotos y la reenviaron en masa. Esto tiene el objetivo dañar su reputación como profesional, y, también puede ser utilizado como presión o tortura psicológica al exponer y violentar su intimidad y de las personas que confían en ella.
Estas acciones son graves, pueden destruir vidas.
Este caso es el que me lleva a escribir esto, pues una amiga me contactó para ver si podía ayudar a la víctima a recobrar sus cuentas. Antes de continuar, quiero aclarar algunas cosas:
No sé si habrá recuperado sus cuentas, ya que no llegamos a entrar en contacto, pero espero que sí lo haya logrado.
No tengo conocimiento del método que emplearon para quitarle el control y acceso, por lo que estaré comentando los más comunes y evidentes.
Escribo esta guía con el deseo de ayudar a que estas cosas pasen lo menos posible en el futuro.
Puedes hacerlo todo bien y aun así ser hackeado/a, nada ni nadie es infalible. Pero sí se lo puedes poner complicado o llevar tu seguridad a un nivel de complejidad tal que el costo de hackearte no les sea rentable o sea tan alto que desistan.
Dicho lo anterior, comienzo a enseñarte lo elemental sobre cómo protegerte en internet y cuándo lo necesites, del gobierno.
Medidas de protección básicas
A pesar de que las tecnologías y la forma de interactuar han cambiado, las normas de seguridad básicas en internet siguen siendo las mismas. La información es poder, y en la actualidad dejas exponencialmente más datos en el espacio digital que en el mundo físico.
Medidas de seguridad en contraseñas y acceso a tus cuentas
Las contraseñas son las llaves de tu vida digital. Si otra persona las consigue tiene el poder de dañar tu privacidad e imagen pública. Pero también pueden usar tus redes para cometer fraudes económicos o estafar a tus amistades.
Las consecuencias pueden ser catastróficas si alguien malintencionado se hace de ellas, o si tienes una contraseña muy débil, fácil de romper o adivinar. Veamos entonces las acciones recomendadas para fortalecer tu seguridad en cuanto a contraseñas y acceso a tus cuentas.
1. Fortaleza de la contraseña
El problema que convierte a las contraseñas en uno de los mayores puntos débiles de la estructura de seguridad en Internet, es que las personas tienden a escoger las que son fáciles de recordar (“password”, “123456”, “abcdef”). Lo malo es que estas también son fáciles de romper por los atacantes.
Los intentos de adivinar las contraseñas suelen hacerse por fuerza bruta. O sea, uno o varios equipos de cómputo con un software especializado probando varias combinaciones hasta dar con la correcta.
En este sentido, no existe contraseña invulnerable, todas se pueden romper. El punto está en el tiempo que se demoraría en hacerlo.
Por ejemplo, una contraseña débil es una que con un ataque de fuerza bruta se puede descubrir en menos de 24 horas. En cambio, una contraseña fuerte es aquella que para romperla se requerirían años de ataque de fuerza bruta ininterrumpidos para descifrarla.
Se considera una contraseña fuerte aquella que tenga al menos 15 caracteres y que incluya letras, números y caracteres especiales. Y, sobre todo, no tenga relación contigo, tu ambiente familiar o laboral.
Hay sitios donde puedes comprobar la seguridad de tu clave. Yo te recomiendo que utilices el servicio gratuito de Kaspersky para este fin siempre accediendo desde una pestaña de incógnito (este elemento lo explicaré más adelante).
También puedes usar programas que te generen y administren las contraseñas (ver punto 3).
2. Verificación en dos pasos
Si ya tienes tu contraseña segura, deberías ir inmediatamente a activar la doble autenticación en todas tus cuentas. Esto es lo mejor que puedes hacer para proteger el acceso a tus redes.
Con el doble factor activado, luego de introducir correctamente la contraseña, necesitas introducir un código que se genera a través de aplicaciones como Google Authenticator.
Así, el sistema se asegura que es realmente el dueño de la cuenta quien intenta acceder y no un tercero. Por suerte, son cada vez más las plataformas que integran esta segunda capa de seguridad.
La doble autenticación también se puede hacer a través de un SMS o un código que se envía a tu correo electrónico, pero no lo recomiendo. En el caso de tu email, este puede estar ya comprometido por el atacante.
Tampoco te aconsejo que lo implementes por SMS; quiero recordarte que en el caso de Cuba es muy fácil que desde el gobierno te clonen tu SIM y número de teléfono. De hecho, al existir una sola compañía telefónica que responde a los intereses gubernamentales (uno de sus principales accionistas son las Fuerzas Armadas cubanas) es muy fácil para ellos interceptar y bloquear los SMS que te llegan.
Dándoles la oportunidad de romper la seguridad del doble factor.
3. Múltiples contraseñas y mantenerlas secretas
Utilizar la misma clave para todas tus cuentas es riesgo de seguridad inminente. Si consiguen descifrar o hacerse con la contraseña de uno de los servicios que usas, casi seguro probarán acceder con ella al resto de las plataformas donde estés. Si es la misma, tendrán control total.
Una llave única es cómoda, pero hay que evitarla. Lo ideal es tener una contraseña diferente para cada usuario o cuenta.
Para esta situación, donde existen múltiples claves difíciles de recordar, están los gestores de contraseñas. Estos nos ahorran el proceso de memorización, pero también son capaces de generarnos códigos muy difíciles de descifrar.
En este caso te recomiendo Bitwarden o Dashlane, que tienen un plan gratuito que como usuario normal cumplirá todas tus expectativas. Ojo, para desbloquear el gestor de contraseñas también debes poner una contraseña segura.
Otro detalle crucial es no compartir tus contraseñas con nadie, ni tu pareja, ni tus padres, ni tus mejores amigos. ¡Con nadie!
4. Biometría
Es utilizar el físico (huella, iris, cara) para desbloquear los accesos. Los sistemas biométricos para gestionar contraseñas son, en teoría, imposibles de hackear. Digo en teoría porque al ser aspectos físicos de ti pueden desbloquear tus cuentas mientras estás inconsciente.
5. Alertas de inicio de sesión
Un último consejo, activa las alertas de inicio de sesión de modo que cuando exista un acceso o intento de acceso se te notifique vía SMS o correo electrónico. Así sabrás si estás siendo víctima de un ataque y extremar la precaución o tomar las medidas necesarias de protección como cambiar las contraseñas.
Medidas de seguridad informática en tu propia persona
Hay veces que no hackean tus cuentas, en cambio, te hackean a ti. Esto se llama ingeniería social, y es un conjunto de técnicas empleadas para engañar a los usuarios para que envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados.
Por ejemplo, están los clásicos caso de pishing. En este caso, a través de un correo electrónico, mensaje de chat o SMS intentan convencerte de que son parte de los administradores o el grupo de soporte de una plataforma donde estás. Lo hacen con la esperanza de que sacarte información personal o datos de tu cuenta, por insignificantes que parezcan a ellos les son útiles.
En otros casos, el atacante puede presionarte para que le otorgues acceso a tu red o cuenta, con la excusa de un problema grave que es urgente resolver. Utilizan sentimientos como la rabia, la culpa y la tristeza para intentar convencerte de que necesitan ayuda y no puedes negársela.
Incluso pueden usar métodos más simples como mirar los dispositivos por encima de tu hombro sin que te des cuenta. Con esta táctica pueden dominar tus accesos sin necesidad de acudir a métodos más tecnológicos.
¿Qué medidas puedes tomar contra esto?
Las acciones de prevención son tan simples como efectivas:
No respondas nunca un correo spam: los administradores o personal de soporte de una plataforma nunca te pedirá tu usuario y contraseña para ayudarte a resolver algún problema.
Nunca cliquees un enlace sospechoso: si te llega un correo no deseado o solicitado con un enlace a una oferta, regalo espectacular o hacia un tema de tu interés, no lo abras. Casi seguro es una trampa, ten mucha precaución.
Si te llega un código, no se lo reenvíes a nadie: puede darse el caso de que te llegue un código y de repente un amigo te pida que se lo reenvíes porque lo necesita para recuperar su cuenta. NO SE LO MANDES. Lo más probable es que la cuenta de él haya sido hackeada y estén intentando lo mismo con la tuya, pues ese código puede ser la clave de doble factor o la verificación que se te envía cuando olvidas la contraseña para que puedas cambiarla.
Contacta con tu amigo directamente (en persona o con una llamada) y comprueba que en verdad sea él. Aun así, si es él, dile que lo sientes, pero que no le puedes mandar ese código.No aceptes mensajes de desconocidos pidiendo ayuda u ofreciéndote algo: suena tajante, pero si recibes un mensaje de esos, “hola como estas”, de un desconocido: bloquea y borra la conversación.
Ok, supongo que eres amable y no puedes hacer algo así, entonces solo envía como respuesta el enlace https://holano.xyz/. Este es un landing page donde se incita a las personas a expresar lo que desean desde el inicio de la comunicación con el fin de respetar el tiempo de los demás. Si la respuesta que te envían luego no es para explicarte lo que desean: bloquea y borra la conversación.Utiliza un protector de pantalla antiespía: existen ya protectores de pantalla que evitan que se pueda ver lo que proyecta en el celular desde los lados. Esto evita que ojos indiscretos sepan lo que escribes o haces. No obstante, si no lo tienes, siempre puedes guardar tu celular en los espacios públicos o ubicarte en una posición donde nadie se pueda colocar detrás de ti.
Medidas de seguridad en la navegación en internet
En esta última sección te comentaré acerca de precauciones generales que deberías incorporar en tu día a día en internet. Presta atención, porque cada una es importante.
Practica la navegación segura
Como mismo usas siempre el condón para protegerte de enfermedades de transmisión sexual, utiliza siempre VPN al navegar por internet. Si vives en Cuba es casi obligatorio por muchas razones.
Esto protegerá que tus datos y trazas de navegación no queden registradas por la compañía telefónica. De igual manera, datos como tu ubicación no serán posibles de recolectar por los sitios que visites.
Algo importante también es navegar siempre en modo incógnito, de esta manera no se guarda ninguna información sobre las páginas web que has visitado. Y, además, se cierran de manera automática todas las sesiones de redes sociales al cerrar el navegador.
Si no navegas en modo incógnito, al cerrar el navegador, las sesiones seguirán activas y se abrirán automáticamente cuando se vuelva a acceder a esas páginas.
Ten cuidado con lo que descargas
Los malwares son programas o aplicaciones que pueden causar daño o tratan de robar información. Se pueden disfrazar como aplicaciones legítimas o necesarias: desde un juego popular a un crack para usar un programa que requiere licencia.
Ten cuidado con lo que publicas
Todo lo que hacemos tiene consecuencias, ya sean buenas o malas. En el caso de las publicaciones en redes sociales, hay que ser conscientes de que expones parte de tu vida.
El caso es que, si publicas datos como tu dirección, puedes afectar tu seguridad o la de tu familia. De la misma manera, si das a conocer los días de ausencia porque te vas de vacaciones o por cuestiones de trabajo, estarías exponiendo tu vivienda a robos.
Mantén actualizado el programa antivirus
Un antivirus no te protegerá contra todas las amenazas, pero detectará y eliminará la mayor parte del malware siempre que te asegures que está actualizado. Ojo, no confíes en aplicaciones de este tipo que provienen de organizaciones gubernamentales cubanas.
Si has llegado hasta aquí, ya conoces las medidas de seguridad básicas a tomar cada vez que te conectes a internet. Todos los consejos y precauciones que te di son muy fáciles de seguir. Así que solo precisas de incorporar y hacer estos hábitos sencillos parte de tu vida diaria para roteger mejor tu integridad digital e intimidad.
The rewards earned on this comment will go directly to the people sharing the post on Twitter as long as they are registered with @poshtoken. Sign up at https://hiveposh.com.
Los buenos consejos siempre son bien recibidos. Es una guía bastante útil, para tener en cuenta. Muchas gracias por compartirla. Le deseo muy buena suerte.
Gracias a ti y espero que te sea muy útil y que nunca tengas que pasar por una situación de hackeo o algo parecido 🙏.
La moneda de mi país vale tan poco, que pasarían de largo a otra persona. Pero lo de la intimidación y chantaje social, si sería desagradable.
Nunca está demás leerse un post de estos, casi siempre me los leo, así que gracias por compartir bro, un par de tus consejos no los tomaba en cuenta.
Siempre se aprende algo nuevo y la verdad toda medida de seguridad es poca.
Mejor hacerse hacker y usar linux, es la mejor medida de seguridad xd
Hola amigo! Bienvenido a la comunidad de Geek Zone, veo que es tu primer post por acá.
Muy completa la publicación, aprendí ciertas cosas que no sabía, por ejemplo el uso de la página que recomiendas entrar en el modo incógnito, muy buena!
Felicidades por tener un post tan completo.
Me gustaría dejarte la recomendación de que interactúes un poco más en la comunidad, nosotros deseamos que haya feedback entre los miembros de la misma como parte de seguir creciendo como blogers. Te recomendaría también agregar algunas imágenes más o gifs. Excelente de todas formas el post.
Saludos amigo.
Gracias, por el comentario y los consejos. Sí, mi intención es interactuar más con la comunidad. Lo que sucede es que luego de la publicación se dieron circunstancias extremas en mi país (Cuba) que me impidieron tener presencia en internet. Saludos.
Muy interesante todo esto, sobre todo ahora que recientemente también por aqui hackearon varias cuentas, no sé si te enteraste de esto, sería bueno nos compartieras tutoriales como guía y apoyo para fortalecer de alguna manera un poco más nuestra cuentas, gracias, igual por compartir estos tips, que no están de más tenerlos en cuenta, saludos.
Hola, y disculpa que haya tardado tanto en responder, en mi país estuvimos alrededor de 48 horas sin electricidad. Pues sí me enteré de los hackeos a la cuentas de Hive, por eso hay que hacer incampié en la educación sobre la seguridad informática y en el hecho de que las claves privadas no se le envían a nadie.
A medida que encuentre otros aspectos interesantes y otras medidas de seguridad, da por hecho que las compartiré por aquí.