5 hábitos para proteger nuestra seguridad online

De la misma manera que en la vida real tenemos hábitos para prevenirnos de posibles robos y hurtos, en la vida online es necesario adquirir algunos con el fin de proteger nuestras cosas digitales. Veamos cuales son y porque es importante aplicarlos.

Para saber como protegernos tenemos que conocer primero a que amenazas nos enfrentamos. Existen dos formas principales de robar información hoy en día: el phishing y el “tanteo”, que tiene a su vez dos variantes: una artesanal y otra de “fuerza bruta”.

¿Qué es el phishing? En su forma más típica, un estafador se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial por correo electrónico. El mensaje nos reclama visitar el sitio de la empresa con urgencia, por ejemplo, alertándonos sobre un posible problema de seguridad. Nos adjunta un enlace, que nos lleva a un sitio que es una copia de la organización por la cual se hace pasar el impostor. Generalmente es una página donde tenemos que loguearnos. Pero al hacerlo le damos al estafador nuestros datos.

El robo por “tanteo”. La técnica del tanteo consiste básicamente en probar distintas contraseñas hasta pegar la correcta. En general se van probando nombres propios, contraseñas comunes (por ej. password), combinaciones de teclado y sucesiones (ej. 123456, querty, etc.). En la variante de fuerza bruta de esta técnica el que intenta robar la clave tiene listados grandes de muchas combinaciones de palabras y crea un pequeño programa que va probándolas una por una. También puede generar un programa que vaya probando aleatoriamente letras y/o números. Con suficiente tiempo y una maquina potente es posible descifrar la contraseña. Por ejemplo, se necesitan apenas 10 segundos para descifrar una clave numérica de ocho dígitos.

En la variante artesanal lo que se intenta es buscar información de la victima y usar esos datos para probar contraseñas. Así, por ejemplo, si se averigua que la persona tiene una mascota, puede intentar averiguar su nombre y probarlo como contraseña. Aunque esta técnica puede parecer poco sofisticada es relativamente usada y bastante efectiva. Hace poco hubo un caso muy importante de robos de cuenta de un importante servicio online, Twitter, donde usando esta y otras técnicas los “hackers” adquirieron mucha información confidencial de la empresa. (ver el caso en español, o versión original inglés)

En general un “hacker” probablemente no tenga incentivos para robar los datos de personas particulares. Sin embargo, algún compañero de trabajo, un “ex” algo, un amigo para gastar una broma, etc., si pueden intentar eso para robarnos nuestras claves y hacernos pasar, lo menos, un mal rato.

Phishing: cómo evitar morder el anzuelo

Uno de los mayores consejos dados en términos de seguridad online es usar una contraseña difícil de descifrar. Si bien es cierto que este es un requisito importante, hoy en día la mayor parte de robo de cuentas se hace con una técnica para la cual no hay contraseña suficientemente segura: ninguna clave nos salvará si caemos en una trampa de phishing.

El consejo típico contra el phishing es que no hagamos caso de los mails que nos urgen a tomar una acción, particularmente en el caso de bancos. Sin embargo, uno siempre tiene la duda de ¡que pasa si justo es verdad! Por suerte existe un hábito muy sencillo que disminuye drásticamente el riesgo de caer en una de estas trampas:

Hábito 1: no entrar a sitios (especialmente de bancos o comercio electrónico) mediante links en mails. Acceder siempre ingresando nosotros la dirección en el navegador o a través de nuestros favoritos.

De esta forma nos aseguramos siempre que estamos entrando al sitio original y no tenemos que indagar cosas como si tiene “https” o un candadito amarillo, para adivinar si es el sitio que creemos que es o una buena imitación.

Una buena clave es importante

Las contraseñas difíciles no nos salvan contra el phishing pero si contra las técnicas de tanteo, por eso es importante tener buenas contraseñas. La protección básica es evitar usar palabras simples o datos fácilmente accesibles sobre nosotros (nombres, equipos favoritos, mascotas, fechas, etc.). También las sucesiones numéricas (987654321) o combinaciones de teclado (zxcvbnm, las teclas de la última fila del teclado) son fáciles de adivinar.

Un ejemplo bastante común de clave fácil de “tantear”, particularmente en los mails, es cuando la contraseña repite el usuario. El caso es cuando nuestro mail es, por ejemplo, pedro2099@hotmeil.com y la clave pedro2099. ¡Esto es de las primeras cosas que prueba alguien que quiere robar una cuenta de mail! Y no solo tenemos que tenerlo presente con las cuentas de mail, sino con cualquier otro servicio que usemos.

Habito 2: nunca usar como contraseña la combinación que usamos como usuario/apodo.

Hoy en día, donde constantemente aparecen nuevos servicios en los que nos registramos, recordar todas las contraseñas es difícil (si no usamos la misma para todo, lo que no es una buena medida de seguridad). Muchos servicios en seguida de registrarnos nos mandan por mail la clave que creamos y muchas veces guardamos ese mail. Eso puede ser un error: si nos roban la cuenta de mail, ¡con solo buscar entre los mails archivados el “hacker” puede tener acceso a muchas de nuestras contraseñas! Contrariamente a lo que tradicionalmente se aconseja, hoy por hoy es más seguro anotar las claves en un papel (guardándolo, eso sí, en un lugar seguro) que dejarlas archivadas en un mail.

Habito 3: no guardar contraseñas en mails, en todo caso mejor anotarlas en un papel (y guardarlo en un lugar seguro).

Nuestro mail es uno de los principales puntos donde nos atacarán para robar nuestros datos. Es muy importante protegerlo porque además da acceso a mucha información (además de datos que le pueden servir al “hacker” para robarnos más contraseñas; éste puede ir a distintos sitios y solicitar una recuperación de clave, que teniendo control sobre la cuenta de mail facilita mucho el proceso). Por eso, otro buen hábito de seguridad es usar una contraseña distinta a cualquier otra para cada una de nuestras cuentas de mail (o la que usemos en forma más habitual). De esta manera si el “hacker” nos roba la clave de nuestro mail no puede usarla para acceder a otros servicios. Y viceversa: si roba algún otro servicio, la clave no le sirve en nuestro mail.

Habito 4: usar una contraseña particular, distinta a todas las demás, para nuestra cuenta de mail

Claves seguras y fáciles de recordar

Un tema con las contraseñas es recordarlas. Como dijimos, la técnica de “fuerza bruta”, prueba combinaciones de caracteres hasta encontrar la clave correcta. Cuanto más caracteres haya que incluir y más larga la clave más tiempo lleva descifrarla. Si usamos una clave de 8 dígitos que combina letras, números y caracteres especiales (como @, comillas, puntos, guiones, asteriscos, etc.), le llevaría 57 años a una maquina moderna descifrarla. ¡Queda claro porque los expertos en seguridad informática nos recomiendan usar este tipo de claves! Claro que ¿quién es capaz de recordar una clave como 43$dfY#1? Sin  embargo es relativamente fácil crear una clave segura y fácil de recordar.

La clave es combinar contraseñas simples con caracteres especiales. Por ejemplo, si nuestra mascota se llama Roco y los últimos tres dígitos de nuestro documento son 453, una contraseña como 453#roco sería muy difícil de descubrir mediante las técnicas de tanteo en cualquiera de sus dos variantes. Y, por suerte, ¡hay innumerables posibilidades de crear este tipo de combinaciones de claves simples!: pedro@04081954, 04-08-roco, pedro$54@roco, etc.

Cuidado con quedarnos logueados

Otra medida de seguridad tiene que ver con lo que se llama “sesiones”. Una sesión es el espacio de tiempo que pasa entre que ingresamos a un sitio y nos vamos. Durante ese lapso, el sitio sabe quien somos (ya que nos logueamos) y nos recuerda. Pero si dejamos abierta la página y nos vamos, el sitio no lo puede saber. Para él nosotros seguimos conectados. Si otra persona toma nuestro lugar (pensemos por ejemplo en un ciber-café o en la universidad) puede tener acceso a nuestros datos del sitio que dejamos abierto. Para evitar eso debemos adquirir otro hábito:

Habito 5: cuando terminemos de navegar (particularmente si lo hacemos desde un lugar público) siempre hacer click en los links de “cerrar sesión” o “salir” de los sitios o cerrar todas las ventanas del navegador.

El cerrar todas las ventanas funciona igual que el “cerrar sesión” de un sitio. Y ambas acciones le avisan al sitio que nos vamos y que, por lo tanto, ya no debe recordar nuestros datos. De esta manera nadie accederá a nuestro perfil a menos que conozca nuestra clave.

Conclusiones

En líneas generales, cuanto mayor es el riesgo que corremos, mayores las medidas de seguridad que debemos tomar. En la “vida real” extremamos nuestras precauciones si, por ejemplo, andamos con más dinero encima que de costumbre. En la “vida digital” debemos hacer lo propio. No tiene mucho sentido tomar las mismas medidas de seguridad para curiosear en un sitio que nos interesa que para hacer una trasferencia mediante nuestro home banking. Esto tiene dos caras: por un lado tenemos que prestar particular atención a los consejos de los expertos cuando operamos con nuestra banca digital, pero por otro implica que podemos bajar la guardia cuando el riesgo es bajo. Así, en el sitio de nuestro artista favorito no necesitamos usar una clave compleja para registrarnos o chequear cada vez que accedemos si está el candadito de seguridad (a menos que vayamos a adquirir algo).

En conclusión, la seguridad va en relación al riesgo: cuanto más arriesgamos si perdemos el control de una cuenta, más cuidado y atención tenemos que prestar.

¿Qué otros hábitos recomendas o usas para protegerte en Internet?

Información complementaria:

• Cómo crear contraseñas seguras y mantenerlas fuera del alcance de los curiosos
• Wikipedia: Phishing
• La próxima vez nos toca a nosotros
• Contraseñas de hotmail expuestas en la web
• Password Recovery Speeds