seguridad perfiles redes sociales

Como ya sabrás, hace apenas unos meses varias cuentas de celebrities y famosos en Twitter fueron hijackeadas (es decir, secuestradas) durante unas horas.

Hablamos de ello por estos lares, haciendo hincapié en el modus operandi de los atacantes (pura ingeniería social), los objetivos (en primera instancia publicar un tweet desde todas esas cuentas incitando a donar dinero a una cuenta de bitcoin, y por detrás seguramente robar información confidencial de los MPs de dichas cuentas) y sobre todo el papel de culpabilidad que tenía la plataforma en todo esto, demostrándose que internamente las medidas de seguridad y las herramientas de moderación a las que acceden sus trabajadores son de todo menos adecuadas para el impacto mundial que tiene la red de microbloging.

Tras el suceso, como era de esperar, en Twitter se están poniendo las pilas, y recientemente, poniendo de excusa las próximas elecciones estadounidenses, han publicado una serie de recomendaciones de seguridad enfocadas a proteger las cuentas VIP (EN).

La cuestión es que revisando las recomendaciones que dan, me doy cuenta de que prácticamente todo lo que recomiendan es, de forma resumida y sin entrar por supuesto en mucha profundidad, lo mismo que un servidor ofrece en los capítulos dedicados a redes sociales de mi Curso sobre Seguridad y Privacidad en Internet.

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

Y es que esas mismas recomendaciones enfocadas a perfiles con mucha carga pública se pueden aplicar perfectamente a cualquier otra cuenta, sea en Twitter por cierto, o en cualquier otra red social.

Así que a modo de resumen, vamos a repasarlas una a una, para dejar por aquí esta pieza como una suerte de resumen sintético que debes revisar para cerciorarte de proteger las cuentas y perfiles que tengas en redes sociales adecuadamente.

¡Vamos a ello!

La seguridad de la contraseña

Los chicos de Twitter recomiendan una contraseña de al menos de 10 caracteres, con combinación de mayúsculas, minúsculas, números y símbolos, sin información personal en ella ni palabras comunes y sin secuencias predecibles como números en orden o letras ordenadas alfabéticamente.

La realidad es que, como ya hemos comentado en su día, para crear una contraseña segura basta con que:

  • Dicha contraseña no se esté utilizando en ningún otro servicio.
  • Tenga en efecto mientras más tamaño (en número de caracteres) mejor.
  • Utilice en efecto mayúsculas, minúsculas, números y símbolos.

El que esté o no formada por palabras reales es casi lo de menos. Que sí, que en efecto es mejor que no fuera, pero también hay que recordar que parte del atractivo del sistema de verificación basado en el conocimiento (como son las contraseñas) es, como su propio nombre indica, que la podamos conocer. Y somos muy malos recordando series de caracteres aleatorios.

Eso, o mejor aún, pasar de un sistema de verificación basado en el conocimiento a uno basado en la posesión. ¿Que cómo? Pues simplemente delegando la creación de la contraseña a un gestor de contraseñas.

Así solo tendremos que recordar una contraseña (la del gestor de contraseñas), que el resto de trabajo lo hará el gestor.

La autenticación en dos pasos es tu amiga

Lo he repetido hasta la saciedad en cursos, charlas y talleres.

De hecho, es uno de mis Cuatro Pilares de la Presencia Digital Sana.

El sistema de seguridad que mayor impacto tiene en, valga la redundancia, la seguridad de un sistema, es el segundo factor de autenticación, también llamado autenticación en dos pasos o 2FA.

Gracias a él, si te roban el usuario y la contraseña (algo que probablemente tarde o temprano te vaya a pasar, si no te ha pasado ya), para que un tercero pueda entrar en tu cuenta va a necesitar robarte también tu número de teléfono y/o físicamente tu smartphone. Y eso ya no se puede automatizar (tienen que atacarte a ti personalmente).

Lo activas desde la sección de seguridad de tus perfiles (todas las redes sociales ya lo ofrecen), y te olvidas.

Fácil, sencillo, para todos los públicos.

El correo o el número de teléfono de restablecimiento de contraseña

No hay que olvidar que la seguridad de una cuenta depende de lo protegido que esté el sistema de identificación, que por regla general en redes sociales depende o bien de tu correo electrónico, o bien de tu número de teléfono.

Del segundo poco que hablar, ya que realmente no tenemos mucho control sobre su seguridad (depende más de la operadora de telecomunicaciones que nos suministra el servicio), pero sí es recomendable que, si por ejemplo tenemos un negocio o somos profesionales con mucha exposición pública, nuestro número de teléfono público (el que usamos en el día a día) no sea el mismo que utilizamos para loguearnos en nuestros perfiles.

Un servidor es lo que hace, de forma que para el mundo no expongo el número de teléfono que tengo asociado a las cuentas. Por 10 euros al año (5 euros cada 6 meses) tengo un número prepago que es el que utilizo para estos menesteres.

Pero sobre la seguridad del correo electrónico, deberíamos aplicar el punto 1 y 2 de este mismo tutorial:

  • Una contraseña robusta.
  • Proteger las cuentas de emails con doble factor de autenticación.

Cuidado con los enlaces sospechosos

La siguiente parada es una medida de seguridad básica para proteger las cuentas de cualquier ataque de phishing.

Básicamente, cualquier enlace que nos pasen por redes sociales o por email debemos considerarlo a priori como sospechoso. Más aún si nos pide datos para loguearnos.

Lo recomendable en este caso es, que si por ejemplo tenemos que entrar en twitter, seamos nosotros mismos quienes escribamos twitter.com en el navegador, y no entremos desde otro enlace de dudosa reputación.

De esta manera nos quitamos de un plumazo casi todos los ataques de ingeniería social.

Tus credenciales de acceso son solo tuyos

Nunca des tu nombre de usuario y contraseña a terceros, especialmente a aquellos que prometen conseguir seguidores, ganar dinero o verificar su identidad.

Puede parecer un servicio serio, pero en el momento en que un tercero tiene acceso a tu cuenta, pierdes el control de la misma.

Si deseas otorgar acceso a una aplicación de terceros a tu cuenta, es más recomendable que lo hagas utilizando el método OAuth de la plataforma. Eso sí, revisa cada cierto tiempo (de nuevo desde el apartado de seguridad de tu perfil) qué servicios tienen acceso a tu cuenta, eliminando todos aquellos que no sepas quienes son o ya no los necesites.

Y hablo sobre todo de esos servicios a los que un día les diste acceso para saber a qué famoso te pareces, o qué porcentaje ideológico/político tienes, o simplemente para participar en un sorteo. Que bajo esa falsa tapadera de meme se esconde un negocio de robo masivo de datos para revenderlos a terceros.

Sistema operativo, aplicaciones y herramientas actualizadas

No hay nada que ayude a proteger las cuentas más que el que tengas actualizados tus dispositivos. Tanto el sistema operativo, como el navegador, como las apps y herramientas que utilizas.

Ya si luego quieres además acompañarlo de un antivirus comercial, perfecto. Pero recalco que lo importante es lo primero (da más seguridad).

En cada actualización los desarrolladores arreglan fallos de seguridad, por tanto mientras no dejas a tu ordenador o tu móvil que se actualice, estás asumiendo riesgos que pueden comprometer tus cuentas en redes sociales o algo mucho peor.

Vigila tu presencia digital

La mayor parte de cuentas comprometidas están siendo usadas para publicar basura en nombre de sus víctimas.

Este es el caso, por ejemplo, de todas esas cuentas, seguramente alguna de tus amigos, que de pronto te etiquetan en Facebook o Instagram avisándote de que se han comprado unas zapatillas Nike o unas gafas fashion en una pedazo de oferta.

Por supuesto no ha sido tu amigo quien lo ha hecho, sino un tercero que tiene acceso a su cuenta y publica automáticamente en su nombre.

Es por ello que no está de más de vez en cuando revisar qué has publicado con anterioridad, por si te encuentras algo que claramente no ha sido lanzado por tí.

Conclusiones

Una serie de tips para proteger tus cuentas a los que añadiría los consejos enfocados a perfiles con una exposición pública alta (directivos, celebrities, famosos…) que publiqué ya hace un tiempo, y que siguen tan vigentes como el primer día.

Todo con el fin de que el día de mañana no tengas que contratarme para que te ayude a salir de una crisis reputacional.

Que suena muy lejos, pero te aseguro que le pasa tanto a famosos como a gente de la calle como tú o como yo.

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo, viaje y juego (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.