Instagram seguridad

Nueva pieza publicada en ETC by VOZ.COM, la revista de Empresa, Tecnología y Comunicación, en su edición de otoño, y que por alguna razón se me había traspapelado. Esta vez, sobre la importancia de saber estar en Internet, habida cuenta de la evolución lógica de las estrategias de ingeniería social, disponible también en la versión PDF de la revista física (ES).


Por aquí, la pieza final:

Tu seguridad física y digital depende de lo que eres en Internet

¿Alguna vez te has parado a pensar qué pasaría si alguien usurpara tu número de teléfono durante, digamos, un par de horas, a altas horas de la madrugada?

¿Parece una tontería, verdad? A esa hora en principio no deberíamos tener mucho volumen de llamadas. Y a lo sumo, el mayor inconveniente podría ser el que en ese par de horas el susodicho se dedique a llamar a números de pago, dándonos un susto en la factura del mes. Punto.

Lo que quizás no has pensado es que hoy en día tu número de teléfono es tu documento de identidad digital. Con el añadido de que además va asociado por la operadora a tu identidad física… y a tu cartera.

En esas dos horas un atacante puede, en efecto, llamar al otro lado del mundo o consultar su tarot. Pero si tiene un poco más de mala uva, lo mismo también le da por crearse una cuenta de Netflix, por adquirir una de esas dichosas suscripciones a servicios premium de SMS, o también por hacer compras en un market digital. A fin de cuentas, casi todos tenemos un número asociado a un contrato con la operadora, y por tanto, a una cuenta bancaria domicializada.

Pero es que esto, amigo mío, sería el menor de nuestros quebraderos de cabeza.

Lo que debería preocuparte es todo lo que se puede llegar a hacer con tu presencia digital. Porque recalco nuevamente que, en última instancia, tu número de teléfono es lo que se utiliza para identificarte. Es, de hecho, el segundo factor de autenticación que tenemos activo en nuestro correo electrónico, que a su vez es la puerta de entrada a cualquier servicio digital.


Históricamente hemos considerado el número de teléfono algo físico, al estar éste asociado a un dispositivo electrónico. Lo cual en teoría es la combinación perfecta, ya que para robarte la identidad en la red un atacante necesitaría saber tu contraseña (un sistema de identificación basado en el conocimiento, y por tanto, no sujeto a un espacio-tiempo específico) y de paso robarte físicamente el dispositivo (un sistema de identificación basado en la posesión, sujeto, por tanto, a un lugar y un momento específico). Pasamos así de un riesgo global (lo más probable es que tus contraseñas ya estén pululando por algún volcado masivo en la red), a uno local, en el que el atacante tiene que personarse delante tuya y sustraerte además el objeto.

Pero claro, conforme más se digitaliza el escenario tecnológico, el riesgo que antes considerábamos local vuelve a ser global.

Ese atacante del que hablábamos antes, que ya hemos visto que tenía muy mala uva, puede haber hecho los deberes, y en vez de robarnos el terminal físicamente y encontrar la manera de desbloquearlo, podría robarnos nuestra SIM (EN) desde cualquier lugar del mundo, simplemente sabiendo nuestro nombre y apellidos, nuestro DNI y alguna que otra información extra (entidad bancaria, o fecha de nacimiento, o número de seguridad…).

Algunos de estos datos son difíciles de conseguir, pero es que lo más gracioso es que la mayoría ya están disponibles en la red. Al atacante le habrá bastado revisar nuestros perfiles, obtener dichos datos, llamar a la operadora, y utilizar un poco de ingeniería social (perdona señorita, que he dejado mi móvil en casa, estoy de viaje, y voy a necesitar las próximas horas utilizar mi número) para hijackearnos (porque este es el nombre correcto) la identidad.

Una vez con la SIM en su poder, podría literalmente destruirnos la vida. Chantajes propios y a familiares/conocidos (haciéndose o no pasar por nosotros), robo, modificación y/o destrucción de información confidencial (por ejemplo, de nuestro trabajo), bloqueo de nuestra actividad (podría, paradójicamente, expulsarnos del control de nuestras cuentas, productos y servicios que utilizamos a diario).

Literalmente estamos vendidos. Y todo es debido a no haber considerado la presencia digital como uno de los bienes más valiosos que tenemos.

Que algunos llevamos literalmente años defendiendo la necesidad de SABER ESTAR EN INTERNET. Que sí, que a nivel de negocio está claro que hoy en día, e indistintamente de a qué te dediques tú o tu empresa, necesitas una presencia digital. Pero es que con tener una presencia en la red ya no es suficiente. Hay que saber estar, y eso es algo que lamentablemente aún no se enseña en (casi) ningún lado.


Nociones básicas para una presencia digital sana

Como me gusta señalar en los talleres y charlas que imparto, nadie está libre de acabar cayendo en un ataque dirigido. He formado desde a chavales de ciclo medio/superior hasta a directivos de multinacionales para ello, y en todos los casos, les dejo muy claro desde el principio que la mejor medida de seguridad va a ser hacer caso del sentido común, pese a lo difícil que resulta tenerlo bien entrenado.

Afortunadamente, no todos vamos a ser víctimas de un ataque de este tipo. Y es precisamente ahí donde deberíamos centrar el tiro, estableciendo unas pautas saludables que minimicen el riesgo digital.

A nivel de la industria

Resulta obvio que los sistemas de identificación actuales se han quedado obsoletos. Y que el margen de error ha aumentado hasta un porcentaje (de riesgo local a riesgo global, con bajadas drásticas de las barreras de entrada para desarrollar y ejecutar campañas de hijacking) que ya empieza a ser peligroso.

Todo apunta a que de aquí a unos años la gestión de la identidad irá tirando hacia sistemas multifactor, que dependan menos del conocimiento (algo que sabes), y más de la posesión (algo que tienes) y de la inherencia (algo que es innato en ti, como es tu huella dactilar), y que además no dependan tanto del buen quehacer del usuario (contraseñas robustas, dispositivos bien parametrizados a nivel de seguridad…).

La identidad pasa entonces a ser algo que depende de múltiples factores, no solo de dos, como ocurre hasta ahora, limitando la capacidad de un atacante de usurparnos la identidad.

A nivel del usuario

Hasta entonces, la delegación de la seguridad sigue dependiendo de nosotros. Y como ya hemos visto, esto pasa por saber estar en la Red. Bajo este prisma, hay que considerar:

  • Que Internet no es la barra de un bar: Todo lo que publiquemos queda ahí para siempre. Por ello, recomiendo que antes de publicar algo pensemos si ese contenido podría pasarnos factura si el día de mañana lo viera nuestro peor enemigo, nuestros padres, nuestro jefe, un posible empleador, el encargado de decidir si el banco nos ofrece o no un préstamo…
  • Que tenemos que ser conscientes de qué sabe Internet de nosotros: Basta una búsqueda rápida en Google desde un navegador de incógnito por nuestro nombre y apellidos, nuestro correo, nuestro número de teléfono, para ser consciente de qué hay expuesto de forma pública. Servicios como Facebook, además, ofrecen la opción (en Privacidad) de consultar nuestro perfil como un desconocido, como un amigo de un amigo… Con todo esto conseguimos hacernos una idea de qué hay en Internet expuesto de nosotros. De si somos nosotros quienes tienen control sobre dicha información, y por tanto, qué podemos esperar de ello.
  • Que seamos nosotros mismos los garantes de nuestra presencia digital: La mayoría de personas no tienen control (ni siquiera conocimiento) de la información que hay suya en Internet. Sin embargo, con una buena estrategia de contenido, con una metodología de trabajo mínima y adaptada a cada perfil (está claro que no es lo mismo ser el CEO de una compañía que ser un carnicero en una tienda de barrio, o que tener una PYME de 100 empleados), ya se minimizan muchísimos de estos riesgos.

La ventaja de Internet es justo esa. Que las mismas herramientas que pueden utilizar los malos para arruinarnos vida están disponibles para nosotros con el fin de hacer justo lo contrario.


banner curso presencia digital fundamentos

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

No hay que tener miedo a estar en Internet. De hecho, es muchísimo más seguro estar en Internet que no estarlo (si tú no hablas de ti, alguien lo hará en algún momento, y lo más probable es que sea para mal).

La cuestión es saber estar en la red. Utilizar sus servicios con conocimiento de causa, compartir la parte que queramos exponer públicamente, y obviar aquella otra que en suma podría causarnos problemas.