Hoy vamos a revisar las medidas más sencillas y rápidas, a nivel usuario, para que no caigas en un incidente de seguridad. Aunque no tengas conocimientos informáticos estas de suerte, la mayoría de las veces vas a poder esquivar el ataque de un cibercriminal con unos pasos sencillos.
Introducción
Desde fuera la ciberseguridad podría parecer un mundo de una complejidad inabarcable, donde se trabaja haciendo modificaciones a algoritmos criptográficos calculadora científica en mano, escribiendo comandos rápidamente en la consola para perseguir a un intruso por los servidores, ejecutando aplicaciones secretas… Para alguien no técnico, este factor magia digamos, le puede hacer pensar que esta todo fuera de su control y que puede hacer poco para no sufrir un incidente.
Pero la realidad no es así, habitualmente comparte los componentes de muchos otros trabajos, se desarrolla en una silla de oficina, lo que más resultados da es la organización, el sentido común, el estudio y el esfuerzo, etc… Muchas veces la sorpresa y el desastre más grave, ocurre por una chapuza, olvido u tontería. Hoy enfocándonos en el usuario, vamos a ver como este puede marcar la diferencia.
Confirmar/continuar la comunicación por otro medio
Imagina que te llama por teléfono un estafador, haciéndose pasar por tu banco y requiriéndote un dato o una acción. Basta con colgar el teléfono y llamar tu a tu banco, con un teléfono que sepas que es el correcto o buscándolo en una fuente legitima, para consultar si esta oferta/requerimiento/aviso es verdadero de tu banco.
Cuando un cibercriminal te intenta realizar una estafa necesita tenerte en todo momento por el mismo medio, si te llama por ejemplo, necesita engañarte desde ese número de teléfono falso, probablemente incluso durante esa misma llamada. Si lo intenta hacer por correo electrónico, necesita engañarte desde esa dirección de email falsa, probablemente en ese hilo de correos.
Es por esto que van a intentar ponerte delante «problemas», obstáculos que casualmente conviertan la situación en apresurada, ponerte nervioso para que no pienses con claridad: «es que debe ser ahora mismo», «esto es urgente por que podemos perder X». Sin embargo la única acción que ellos quieren que realices lo tendrá todo a favor, por ejemplo si quieren que modifiques una dirección bancaria de destino de una transferencia, la dirección estará perfectamente especificada y en grande.
Ellos tienen todas las limitaciones y tu ninguna, ante sospecha se corta la comunicación y se acude a contrastar información para ver si es verdad por otro medio. Ejemplos:
- Llamas a la supuesta persona que te estaba contactando, pero que te le pasen desde el teléfono principal de recepción de su supuesta empresa.
- Buscas en internet opiniones sobre esa organización si no la conoces, información sobre un teléfono o email.
- Buscas la URL oficial de ese negocio en Google maps o Wikipedia, y la comparas con ese enlace que ves al pasar el ratón por encima del link sospechoso del correo electrónico.
Normalízalo y hazlo con naturalidad, si incluso dentro de tu empresa de repente el departamento de sistemas se pone a requerir la instalación de un software nuevo, no esta demás contrastarlo. Muchas veces, a nada que la organización tenga volumen y haga las cosas bien, tendrás disponible un teléfono o correo para hacer este tipo de consultas de forma especifica, se llamará oficina de seguridad o similar.
Que no te de apuro cortar una comunicación por un medio, para confirmar la información por otro medio. Si tienes reparo en ello es tan fácil como argumentar la verdad: «Lo siento debo comprobarlo por protocolo, ya le llamo yo, chao».
Contraseñas
Seguramente ya sabrás lo que requiere una contraseña para ser segura:
- Que sea al menos de cocho caracteres de longitud
- Que tenga letras mayúsculas y minúsculas
- Que tenga algún número y algún símbolo especial
- Cambiarla al menos cada año
Sin embargo si un negocio es una mercería de nombre Juani, la siguiente contraseñas no es segura:
merceriaJuani2022!
Y podría cumplir los requisitos que pone la aplicación, pero cumple solo unos requisitos muy estrictos. La contraseña además debe cumplir no ser inferible, es decir, que otra persona no pueda llegar a imaginarla dado el contexto. Tu contraseña puede verse atacada por un ataque de diccionario personalizado, que sin entrar en detalles, es básicamente probar suerte de forma automatizada con un grandísimo número de contraseñas que es probable que hubieras puesto.
¿Cómo hacerlo bien? Pues genera tu contraseña, o al menos parte de ella con un generador especializado. No infravalores tu memoria, en cuanto estés escribiéndola una y otra vez durante varios días, la recordarás sin problema (mientras que la aprendes que este bien oculta).
Además de eso recuerda que:
- La contraseña solo puedes saberla tu, si hay varias personas debe haber una correcta gestión de varios usuarios.
- No uses la misma contraseña para algo serio, como tu entorno laboral, que para otro servicio menos serio. Ten varias contraseñas, una de ellas más sacrificable digamos, que no este puesta en ningún servicio que tenga repercusión, esta es la que usarás cuando no te quede otra que registrarte en algún servicio secundario.
Segundo factor de autenticación
Habilita un segundo factor de autenticación, como por ejemplo que te envíen un código al móvil, para cualquier tipo de servicio que uses que sea sensible, por ejemplo para acceder a tu banco. No es complicado, busca en la configuración en el apartado de seguridad o míralo con calma en una guía. Si te roban la contraseña será muy bueno para ti tener esta seguridad adicional.
No hace falta que tengas segundo factor de autenticación para todo, es molesto, pero si para lo critico. Imagina que tienes un WordPress, puedes hacer un usuario que tenga pocos permisos, por ejemplo solo para escribir nuevos post y ese es el que usarás casi siempre. Sin embargo luego otro usuario administrador que puede hacer de todo, como por ejemplo instalar plugins nuevos o publicar post que ya estén terminados, pues para ese usuario si configuras un segundo factor de autenticación (no te va a tocar usarlo tanto).
Actualizaciones
Ten todo actualizado, desde tu sistema operativo hasta la última aplicación. Reserva un tiempo específicamente a esto, de forma periódica. En muchas aplicaciones basta con marcar actualizaciones automáticas, aun así revisa que se estén haciendo cuando des un repaso, del repaso no te libras por que siempre hay algún software dando problemas y requiriendo algo manual. Dale importancia, si no marcas unas horas en el calendario, de vez en cuando a hacer esto, no lo harás.
De forma constante se están descubriendo vulnerabilidades en todas las aplicaciones, el tiempo desde que se descubren hasta que el proveedor las corrige y por supuesto tú actualizas la aplicación, es la ventana de tiempo para que te ataquen en base a estas.
*Sobra decir que estas recomendaciones son a nivel usuario, si algún administrador de sistemas o personal de dirección esta leyendo esto y reparando en alguna infraestructura obsoleta de su organización, que requiere una planificación para evolucionarla y no lo esta haciendo, que sepa que su conciencia esta muy susia.
Antivirus
El antivirus va a haber muchas cosas de las que no te salve, que no te produzca falsa sensación de seguridad el tenerlo, aunque lo tengas no debes tocar donde no debes tocar. Con ello dicho es un obligatorio, debes instalar como mínimo la versión gratuita, que actúa de forma menos proactiva que las de pago, pero que esta bien. No nos meteremos a su elección, pero hay muchas opciones buenas y muy conocidas, siempre puedes preguntar a tu amigo informático o buscar información. Por aquí te dejo una opción estándar:
https://www.avast.com/es-es/free-antivirus-download
Otros programas y formación
En la medida de lo posible, aprende básicos de ciberseguridad y entérate de alguna herramienta que te ayude en caso de problemas, por aquí te dejo unas ideas:
- VirusTotal: Comprobación antivirus muy completa, envía una URL o un archivo para ver si es un virus. Hace uso de muchas fuentes de seguridad para encontrar problemas conocidos con esa web/archivo: https://www.virustotal.com
- URL Scan .io: Para «entrar» a un site web, «sin entrar». Si algún enlace te parece sospechoso no hagas click, pero si cópialo con cuidado y pégalo en esta caja de búsqueda: https://urlscan.io/ Te ofrecerá información sobre la reputación del sitio y podrás ver una captura de pantalla de como es el sitio web (el la visitará por ti).
- Abuse IP DB: Para comprobar IP. Este site web te dice donde esta esa página web https://www.abuseipdb.com. Busca el País/Ciudad/Proveedor de servicios de internet, de esa web, además muestra comentarios y denuncias de otros usuarios sobre esa web, de haberlas. Yo no soy de señalar, pero si la IP esta en Nigeria, o todo parece de tu país y curiosamente la IP esta en Vietnam, pues quizás no sea muy legitima.
- Where goes: Para ver que hay realmente detrás de un enlace acortado o extraño: https://wheregoes.com/. Copias el enlace que te parece sospechoso, con cuidado de no hacer click en él, y al introducirlo en esta web te desplegará el recorrido de redirecciones HTTP que hace, para ver en que URL acaba realmente.
- View DNS: Este me encanta, tiene muchas herramientas, pero quiero enseñarte la primera caja de texto «Reverse IP Lookup». Esta opción busca que dominios/subdominios han resuelto a esa IP, mostrándote que otros sites web o sistemas han sido hospedados allí: https://viewdns.info/. Como imaginas si te sale un buen carajal tenlo en cuenta para ese activo, ya solo por sus probabilidades de compromiso en cuanto a superficie de ataque.
Hay demasiados buenos recursos, si necesitas uno en concreto pregúntame y buscamos la mejor opción.
