Seguridad en Internet

Mejorando nuestra seguridad en internet

Que ondita poporimaigos, hoy jueves 19 de abril de 2018 que estoy escribiendo esto se me ocurrió hablar de algo que es y será relevante por mucho tiempo. Esto a raíz de dos eventos que sucedieron apenas esta semana y como digo, apenas es jueves.

La primera fue el pendejazo que le robaron dos millones de dólares en criptomonedas mientras hacía una transmisión en vivo y la segunda es una que se acaba de dar a conocer hoy: Resulta que el 01 de agosto de 2017 la base de datos de usuarios de Taringa se vio comprometida por lo que nombres de usuario, direcciones de correo y contraseñas quedaron al descubierto. 

Aquí la historia del wey hackeado (en inglés).

Todo esto no es la primera vez que sucede ni tampoco será la última, por lo que nosotros como responsables de nuestros propios datos debemos ser conscientes del riesgo que existe que alguna de nuestras cuentas se encuentren comprometidas y no porque “ese correo nunca lo uso” o “no tengo nada importante que me roben” o “me bale bherga” deje de afectar a otros que nos rodean como familia, amigos, compañeros de trabajo o empleadores pues a final de cuentas compartimos con ellos la red desde donde nos conectamos a internet por lo que al estar nosotros expuestos por ende comprometemos a los demás; basta con recordar el problema masivo que hubo el año pasado (y que aún hoy día sigue afectando a bastante gente) donde el ransomware Wannacry puso en jaque al mundo entero al comprometer por ejemplo todo el corporativo de Telefónica en España o la red de salud del Reino Unido, esos son 2 de los casos más sonados, sin embargo de lejos fueron los únicos, es más México fue y sigue siendo uno de los países más afectados por esta situación debido principalmente a las 3 razones que puse arriba, obvio habrá más pero la mayoría cabe perfectamente en alguna de ellas.

¿Pero qué podemos hacer?

 

Aquí una pequeña lista:

• NUNCA usar la misma contraseña en todos los sitios donde nos damos de alta.
• Utilizar la verificación en dos pasos, cuando esté disponible.
• Eliminar las cookies al terminar de usar el navegador, todos los navegadores traen la opción para poder configurarlos de modo que al cerrar la última ventana abierta se vacíe la caché, las cookies y todo lo que tenga que ver con información que nosotros escribimos.
• Utilizar un gestor de contraseñas, así puedes poner muchas contraseñas diferentes en cada sitio y acordarte de solo una, la del programa que te las va a administrar.
• Mantener el antivirus actualizado.
• No usar piratería, no mamen, los parches o cracks están llenos de backdoors o puertas traseras que permiten a quien escribió ese archivo poder entrar a tu máquina y hacer lo que se le pegue su gana, por ejemplo instalar un malware para minar criptomonedas, que es lo de hoy, instalar un keylogger, para registrar todo lo que escribes en el teclado y así poder robarte más información; o hacer muchas otras cosas más, eso ya es decisión del atacante.

¿Qué es un gestor de contraseñas?

 

Básicamente es un programa que instalas en la computadora o el smartphone y sirve para administrar todas las contraseñas que uses. Estos programas se integran con los navegadores para rellenar de forma automática formularios web y almacenar las contraseñas de forma segura así puedes crear contraseñas muy fuertes (caracteres especiales, mayúsculas, minúsculas y todas las cosas locas que se piden ahora para hacer contraseñas más fuertes) así no tienes que preocuparte por acordarte de decenas o cientos de contraseñas diferentes y difíciles, basta con que recuerdes la del administrador y listo.

Aquí les dejo una página con comparativa de gestores gratuitos por si quieren probar alguno.

PC Mag, lista de gestores de contraseñas gratuitos

¿Qué es la verificación en dos pasos?

También conocida en inglés como Two-Factor Authentication es una segunda capa de seguridad que muchos sitios ya están ofreciendo para subir un poco más el nivel de seguridad con el que cuentan. Esta verificación puede ser de varias formas, pero todas se activan después de que has escrito tu nombre de usuario/correo electrónico y contraseña de forma correcta, es entonces cuando sucede la magia:

• Por SMS:  El sitio web te envía un código regularmente numérico y generalmente de 6 dígitos que es válido por una única ocasión y por un porto periodo de tiempo, por lo que debes de usarlo en ese momento, de otra forma caduca y se debe enviar nuevamente.
• Por medio de una aplicación especializada: Estas aplicaciones se vincular con la cuenta que quieres proteger por medio de un código QR, de esta forma el reloj de la aplicación y el sitio web se sincroniza y cada 60 segundos se genera un nuevo código, único también, que de no utilizarse dentro de la ventana de tiempo indicada deja de tener validez y hay que ingresar uno nuevo que ya se generó. Entre las aplicaciones más utilizadas de este tipo se encuentran:

• Authy
• Google Authenticator
• Microsoft Authenticator
• Microsoft Account, que se encuentra dentro de la suite Microsoft Apps

• Por medio de un dispositivo vinculado: Esta opción tiene poco que Google la comenzó a implementar en sus servicios tanto al público en general como los empresariales. Esta funciona de la siguiente forma; Si tu smartphone Android está vinculado a tu cuenta de Google y quieres ingresar a tus servicios de Google en un navegador, al ingresar los datos correctos el servicio enviará un aviso a tu teléfono, el dispositivo te preguntará si fuiste tú quien quiere acceder a los servicios desde un navegador, y tienes dos botones con opciones, responder Sí, para que puedas terminar de iniciar sesión o bien responder No, no he sido yo, por lo que entonces el servicio te llevará por una serie de pasos para blindar tu cuenta y no se vea comprometida.
• Esta variante también la ofrecen las aplicaciones de Microsoft con las cuentas de Microsoft aquí tienes que compara el código que aparece en el navegador con el que te muestra la aplicación en tu dispositivo, si son iguales aceptas la conexión, si son diferentes no la aceptas y el procedimiento es similar al de las cuentas de Google.
• Por llamada telefónica: Similar al servicio por SMS, aquí la diferencia es que el código te lo dictan para que lo vayas escribiendo. (esta opción es la menos usual)

Por último, cabe aclarar que la verificación en dos pasos ofrece códigos de acceso de respaldo para poder acceder a nuestras cuentas en caso de que no tengamos nuestros dispositivos a la mano y no exista manera de consultar un SMS, la aplicación de autentificación o una llamada telefónica. Estos códigos se llaman backup codes o códigos de respaldo, regularmente se ofrecen 10 códigos para poder imprimirlos y tenerlos almacenados y usarlos como último recurso, también se pueden almacenar como archivos de texto o imagen de forma digital, solo hay que recordar que deben estar en un lugar seguro y no al alcance de cualquiera.

¿Y como puedo saber si mi cuenta de correo corre peligro?

 

Existe un sitio web llamado Have I Been Pwned? Donde ponemos nuestra dirección de correo electrónico y este se encarga de revisar la lista de las bases de datos que se conoce han sido hackeadas, si tu cuenta de correo aparece en alguna de ellas te mostrará la base de datos afectada, la fecha del ataque y la información que se filtro en ese ataque. La verdad es bastante útil porque a veces nos olvidamos de dónde estamos registrados y tal vez nuestros datos estén expuestos. 

Les dejo un ejemplo con mi cuenta de correo.

Incluso te puedes registrar en su lista de correos y cuando se de a conocer una nueva filtración te avisa por correo.

Y así es como se ve el contenido del mensaje que te informa de la brecha de seguridad.

Como vemos indica el sitio atacado, la fecha del evento, la cantidad de cuentas afectadas, los datos comprometidos y por útimo toda la información condensada en un párrafo.

Esta información es útil por 2 razones, puede que ya no uses ese servicio y no te acordabas, puedes entrar y darte de baja o bien si todavía lo usas es momento de cambiar la contraseña, incluso es posible cambiar el correo electrónico en la mayoría de los sitios. 

Por suerte, uso contraseñas diferentes en todos los sitios y 2-factor donde es posible habilitarlo, eso mejor a nada.

O una solución más perrona es botar todo e irte a vivir a la montaña lejos de la civilización.

Si quieren probar el sitio y verificar si sus correos están comprometidos les dejo el link. 

Have I Been Pwned

Su mágico hamijo, jaqerman.