Sobre el desconocimiento de los riesgos de la exposición de información

Presencia Digital CONPilar

El finde de la semana pasada se celebró, como desde hace cuatro años, la CONPilar (ES/y ya de paso el viernes el Hack And Beers). Un evento montado por Susana, Eneko y el resto de colaboradores (muchos de la HoneyCON andaban por ahí G.G) que intenta acercar la concienciación en materia de seguridad y legislación al ciudadano medio aragonés. Y como no, una oportunidad única de abrir algunas mentes :).

Susana me escribió ya hace unos meses por si quería preparar una charla para el evento, y lo cierto es que me pareció mas interesante montar un taller.

Sigo pensando que aunque las charlas, en principio, te dan mayor reputación en la industria, son los talleres los que por su cercanía me permiten llegar y aportar más. Que me lo paso mucho mejor impartiéndolos, a sabiendas de que tengo el feedback de los participantes, y puesto que para un servidor las clases magistrales no tienen sentido, se vuelven al final un espacio para el debate, y si el número y tiempo lo permite, incluso como una suerte de mentoría colectiva.

El caso es que para la ocasión preparé una especie de taller tipo de los que habitualmente imparto in-company, enfocado en la Presencia Digital Sana de perfiles con mayor exposición (quieran o no), como suelen ser los empresarios y directivos.

Un repaso a todos esos conceptos que suelo ir compartiendo por estos lares, convenientemente empaquetados y cargados de referencias y ejemplos para que el taller sea más humano y menos técnico.

Hablamos:

  • De las cosas que deberíamos tener en mente a la hora de utilizar servicios digitales. Igual que en la calle no confiamos de cualquiera que se nos acerque con una gabardina para vendernos el último iPhone, ¿por qué lo hacemos a nivel digital? En prácticamente todos los sectores de la industria (para muestra este ejemplo (ES)) existen comparadores, empresas intermediadoras que se encargan de ofrecer en el mismo espacio diferentes opciones, para que luego nosotros, o mejor dicho, nuestro sentido común, haga el resto.
  • De casos recientes donde una mala decisión (online u offline) acabó por pasarle factura a la persona y a la empresa.
  • De cómo funciona la industria de la usurpación de identidad.
  • De las cuatro tipologías de contenido que se pueden posicionar en Internet, y la importancia de saber identificarlas en nuestro perfil.
  • De mi teoría de los cuatro pilares de la Presencia Digital Sana.
  • De cómo funcionan las campañas de phishing y los fraudes.
  • De cómo combatir el que a día de hoy se han vuelto el mayor riesgo online (ransomware) y el vector de ataque más habitual (phishing).
  • Del papel de la formación adecuada de los trabajadores.
  • De la estrategia tipo de marca online.
  • De cómo estar bien informado sin apenas trabajo.

En definitiva, de todo lo que compete a la presencia digital de una persona y/o organización.

Teníamos unas 3 horas para ello, y cuando nos dimos cuenta, nos habíamos pasado casi una, así que supongo que los alumnos estaban disfrutando tanto como un servidor.

Aproveché, además, para recomendarles una serie de herramientas y servicios que minimizan el radio de exposición de nuestros perfiles, hablando por supuesto de esa pequeña joyita que representa Ciberprotector (ES), y que me ha permitido ofrecerles un año de licencia premium gratuita para su gestor de contraseñas, segundo factor de autenticación y VPN.

En fin, dos jornadas que dieron para mucho más (poner cara, por ejemplo, a varios compañeros de la industria), en las que me lo pasé como un niño, y la única pena es que solo he podido ver algunas charlas, habida cuenta de que el taller se comió prácticamente la jornada principal.

Habrá, no obstante, vídeos disponibles de las charlas, así que no está todo perdido.

¿Qué consejos le daría a estas personas o empresas que desconocen el riesgo de la exposición de su información en Internet?

Coincidiendo con mi viaje a Zaragoza, Julian GL de Ciberpatrulla me escribía para pasarme esta pregunta y preparar una pieza en la que consultó a varios referentes (y amigos) en materia, y que puedes leer por aquí (ES).

Es un tema que me apasiona, así que por supuesto le envié el siguiente texto:

Es algo, de hecho, que intento desmitificar en cada una de mis presentaciones en eventos. Y creo que la mejor manera de hacerlo es enseñándoles en qué situación se encuentran ellos mismos.

De dos maneras, principalmente:

  • Animándoles a practicar en ese mismo momento egosurfing: Que abran una pestaña de incógnito y busquen por su nombre y apellidos, su dirección de correo, su teléfono, sus nicks habituales, su NIF/CIF, las fotos que ponen de perfil… a ver qué sale. En la mayoría de casos de personas que no tienen una presencia digital controlada, se encuentran con que, de pronto, al buscar su NIF aparecen listados en páginas de morosos y/o multas de tráfico. O incluso en listas de afiliados en X partido. Y es que cualquiera de nosotros puede ser a ojos administrativos un moroso por habernos negado a pagar una factura de una… operadora de telecomunicaciones (o el servicio que quieras)… que de hecho nos ha dado la razón (esa factura estaba errónea y ellos mismos lo han reconocido) pero que pretenden que igualmente la paguemos y ya nos lo irán devolviendo en futuros meses.
  • Que descubran que su email YA ha sido comprometido: Que entren en HaveIBeenPwned.com (EN) y pongan su o sus emails. A día de hoy ya hay 8.000 millones de cuentas comprometidas en el mundo… Y recuerdo que somos alrededor de 7.000 millones de personas. Que claro que por un lado la mayoría de los que estamos en Internet tenemos múltiples cuentas. Pero por otro no todos los humanos en la faz de la tierra tienen Internet. Eso hace que para alguien como tú y como yo, que llevamos ya unos años navegando, lo normal es que al menos una de nuestras cuentas haya sido ya comprometida, y este servicio gratuito nos dirá cuándo, cómo y lo más importante. Qué lleva desde entonces expuesto en la red sobre nosotros (usuario/contraseña, datos de geolocalización, datos personales/sociales/fiscales…).

A partir de ahí, parece que la gente te escucha un poco más. Quien más quien menos ya ha visto, aunque sea por televisión, que tal político o tal empresa se ha ido a pique por una crisis reputacional. Que cada vez más la gente está concienciada de que lo que ocurre en internet te puede llegar a afectar en tu vida.

Y que en Internet están ocurriendo cosas (maravillosas, pero también dañinas) continuamente.

Si no eres tú quien controla qué se dice de ti en la Red, te puedo asegurar que alguien lo hará por ti. Y créeme cuando te digo que, por norma general, un tercero no va a hablar de ti para bien.

Que sin Presencia Online, eres un vagabundo digital.

Y NADIE quiere trabajar con vagabundos…