seguridad privacidad internet

Hace ya unos días participé en uno de los directos de Info-Computer, una de las tiendas de informática online con mayor peso en España y Portugal.

Miguel, su fundador, es prácticamente parte de nuestra familia, al igual que su pareja, y en una de estas quedadas me animó a que me fuera a su sede para resolver dudas sobre seguridad y privacidad a su audiencia en redes sociales. Una que llevan trabajando ya varios años, y que a base de hacerlo bien, han conseguido hacer crecer hasta ser una de las marcas referencia del sector.

Así pues, en ese ratito en directo hablamos de muchas cosas.

Dejo por aquí, como ya viene siendo habitual, algunos de los temas, aunque luego en la entrevista salieron muchos más, así como el vídeo completo:

¿Cuáles son los principales riesgos de seguridad para el usuario final?

Fíjate, te diría que el principal vector de ataque actual no tiene que ver, como tal, con la seguridad técnica de nuestros dispositivos, sino con factores puramente humanos.

Es decir, las campañas de fraude, el phishing, y el smishing, son sin lugar a dudas los principales vectores de ataque tanto para usuarios como para organizaciones.

Eso sí, una vez consiguen engañar a la víctima, entran en juego las protecciones de seguridad que tienen nuestros dispositivos, y ahí es donde se puede marcar la diferencia a nivel de hardware y de software.

¿Cuáles son los principales riesgos de seguridad para las empresas?

Pues prácticamente los mismos que los usuarios, solo que aquí hay un impacto mayor de ataques de ransomware, un tipo de malware muy habitual últimamente, y que aunque por supuesto es muy dañino para cualquier víctima, sobre todo compromete la viabilidad de negocio de cualquier entidad.

¿Qué «virus» son los más peligrosos?

Pues mira, ¿qué pasaría si te digo que hoy en día, realmente, no hay apenas virus activos en el mercado?

Hay algunos, por supuesto, pero la amplia mayoría de lo que llamamos comúnmente «virus», es malware.

¿La diferencia?

El virus etimológicamente hablando es una pieza de software cuyo principal objetivo es replicarse.

Esto, per sé, tenía sentido en su día, cuando había ataques creados por lo que llamábamos ciberactivistas.

Pero hoy en día, más que virus, lo que hay es malware, es decir, piezas de software creadas por cibercriminales para sacar rédito económico del ataque.

La diferencia puede parecer sutil, pero nada más lejos de la realidad.

¿Cómo funcionan las principales campañas de fraude?

Todas siguen a la perfección algunos de los mandamientos del marketing y las ventas.

Es decir:

  1. Generar un problema urgente.
  2. Requerir una acción inmediata por parte de la víctima.
  3. Obtener rendimiento económico de ella lo antes posible.

Así, por ejemplo, para usuarios finales tenemos muy activas campañas de phishing del amor, como esa que conté con mi relación imposible con una capitana del ejército de EEUU, que además suele mezclarse con la del príncipe nigeriano (es decir, esa persona que se ha enamorado de tí, además, tiene una fortuna que necesita sacar de su país, y ha pensado en tí para que la ayudes a conseguirlo).

También hay mucho timo con la compraventa de productos de segunda mano.

Y con empresas, sobre todo, usurpaciones de identidad que buscan que abras un documento que contiene, generalmente, un ransomware, para luego pedir dinero a cambio de tu información.

¿Cómo funciona el ransomware?

Vale.

El ransomware es, como su propio nombre indica, un tipo de malware cuyo principal objetivo es cifrar los documentos de tu dispositivo, propagarse a otros dispositivos en la misma red (si hubiera), y luego pedir a modo de extorsión un pago, generalmente en alguna criptomoneda como monero que es más difícil de rastrear que bitcoin o ETH, para poder recuperar acceso a tus documentos, y/o para evitar que la información que hayan robado quede expuesta públicamente.

Y es terriblemente efectivo, ya que piensa que de la noche a la mañana, pierdes acceso a todo lo que tengas en el dispositivo (los archivos siguen estando ahí, pero son inaccesibles a no ser que tengas la llave, que en teoría te la darán si pagas la extorsión).

Para colmo, pagar no supone asegurarse recuperar el acceso. A fin de cuentas, estás tratando con cibercriminales…

¿Es recomendable tener instalado un antivirus?

Muy buena pregunta… y difícil respuesta.

Fíjate.

Te diría que, atendiendo al funcionamiento básico de un antivirus, hoy en día no sería necesario tener uno instalado.

¿La razón? Pues porque, como decíamos anteriormente, no hay apenas «virus» como tal en el mercado.

Ahora bien: Los antivirus modernos han evolucionado, y además de intentar protegerse contra virus, ofrecen una serie de herramientas de seguridad que sí pueden ser interesantes, como puede ser un sistema cortafuegos, un sistema de protección de ataques de fuerza bruta, uno anti-phishing…

Es decir, que ofrecen como una capa extra de seguridad. Una que sigue sin ser 100% efectiva, pero que igual, con su alerta, hace que tú, como usuario que estás a punto de caer en un fraude, te plantees si debes o no abrir ese documento, o pinchar en ese enlace.

¿Son, por tanto, necesarios?

Pues a ver, teniendo sistemas operativos y usando aplicaciones y programas actualizados y descargados de fuentes originales, estrictamente necesario no es que sea.

Pero ofrecen una ayuda extra para contener los riesgos externos.

Y eso puede marcar la diferencia.

¿Qué medidas de seguridad podemos tomar a nivel particular?

La principal ya te la comenté hace un momento:

Mantener actualizados el sistema operativo y los programas/aplicaciones que usemos y/o tengamos instalados, además de haberlos instalado de fuentes originales.

Además, deberíamos desconfiar por defecto de todo lo que nos llegue por email, por SMS, o por redes sociales.

A fin de cuentas, muchos de estos vectores de ataque, si nos ocurrieran en el mundo real y no en Internet, los reconoceríamos al momento (nadie en su sano juicio le daría acceso a su cuenta bancaria a alguien que se encuentra por la calle y le dice que es su gestor, o aceptaría como real que una chica super-guapa nos parase y nos dijese que se ha enamorado locamente de nosotros al vernos caminar).

¿Qué medidas de seguridad podemos tomar a nivel empresarial?

Con las empresas la cosa se complica, ya que entran en juego no solo factores individuales, sino el propio perímetro informático de toda la organización.

Ahí, las recomendaciones que puedo dar es valorar la implantación de políticas de seguridad que cubran realmente todo el perímetro, la formación y concienciación de los trabajadores en riesgos de seguridad, y acompañar todo esto con una estrategia de transformación digital que migre a entornos cloud mejor protegidos y correctamente parametrizados, de manera que cada trabajador solo pueda tener acceso a aquellos recursos que realmente necesita para realizar su trabajo.

Y que, de ocurrir una desgracia, tengamos forma de recuperar aunque sea la mayor parte del trabajo previo.

Algunas herramientas de seguridad y privacidad que recomendaría

Una que me gusta mucho, y que además es gratuita, es haveibeenpwned.com (EN), una web donde metes tu email y te dice en cuántos filtrados de seguridad previos ha aparecido, y qué datos se han expuesto.

Con el email, por ejemplo, del fundador de Info-computer, hice una prueba hace un rato y aparecía en tres filtrados pasados, en los que se ha expuesto tanto el email como la contraseña (sin cifrar, encima), datos geográficos, nombres, perfiles en redes sociales…

Me consta que él ya ha tomado acción, pero estoy seguro que todos los que estáis por aquí no sois conscientes del riesgo que estáis asumiendo, y quizás viéndolo en vuestras propias carnes pongáis remedio.

Luego, por ejemplo, a nivel reputacional, un servicio también gratuito como Google Alerts (ES), configurándolo con nuestro nombre completo, nuestro DNI, nuestro teléfono y nuestro email, nos alertará cuando alguna de estas informaciones personales aparecen indexadas en Google.

No es 100% efectivo (a fin de cuentas, solo nos alerta de lo NUEVO y que además haya sido indexado por Google, dejando cualquier cosa pasada y/o que Google no puede indexar). Pero es gratuita, se configura en unos pocos minutos, y mira, igual nos enteramos de algo potencialmente dañino contra nuestra persona.

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.