Un Enfoque Integral Sobre La Seguridad Online

La historia de Naoki Hiroshima y su twitter de una sola letra (@N) subraya la importancia de realizar un enfoque integral sobre la seguridad de Internet y reitera que la

La historia de Naoki Hiroshima y su twitter de una sola letra (@N) subraya la importancia de realizar un enfoque integral sobre la seguridad de Internet y reitera que la seguridad de una cuenta en la web puede estar intrínsecamente ligada a la seguridad de las demás.

Según se supo, @N recibió en diferentes oportunidades increíbles sumas de dinero de personas que deseaban comprar su cuenta. Hiroshima afirmó, en una oportunidad, que le llegaron a ofrecer hasta u$s50.000 a cambio de vender el acceso a su perfil. También reconoció que su cuenta fue blanco de incontables ataques que buscaban arrebatarle su usuario. Según contó el propio Hiroshima, recibió numerosas veces correos con instrucciones de cómo resetear su contraseña, debido a que otras personas habían intentado ingresar a su cuenta.

Si deseas leer su historia completa, puedes encontrarla aquí. Tan sólo diré que un hacker supuestamente secuestró la cuenta de email de Hiroshima y los dominios web de GoDaddy, autentificándose a sí mismo con los últimos 4 dígitos de la tarjeta de crédito de Hiroshima. El hacker aseguró que estos números los obtuvo utilizando la ingeniería social en un representante de atención al cliente de PayPal. La historia de @N guarda una gran similitud con las calamidades que padeció Matt Honan (@mat), quien reveló en un artículo 2012 que, en tan sólo una hora, toda su vida digital quedó comprometida. Honan comentó que tenía encadenadas todas sus cuentas de Internet y que el atacante tan sólo necesitó comprometer una de éstas para lograr que todas las piezas del dominó se cayeran.

Para comenzar, déjenme admitirles que realmente es imposible mantener todas tus cosas en Internet 100% seguras. Cada uno de nosotros tiene diferentes tipos de necesidades y diferentes cuentas y perfiles que se relacionan con estas necesidades. Lo mejor que puedo hacer para ayudarte a mantenerte protegido es examinar los servicios más utilizados y tratar de establecer un conjunto de reglas básicas a seguir, que con suerte podrán mantenerte lejos de los artilugios de la ingeniería social.

Considera esta publicación como una visión general que pretende realizar un enfoque holístico sobre la seguridad, por medio del fortalecimiento de la protección de todas tus cuentas. A partir de este mes, publicaremos una serie de tutoriales que te enseñarán cómo proteger específicamente cada una de tus cuentas web. Si lo deseas, puedes darte una idea de cómo serán estos tutoriales echándole un vistazo a este instructivo de seguridad de Twitter.

El primer paso que debes dar es proteger tu PC con un Antivirus confiable para que, de esta manera, puedas resguardarte de keyloggers, troyanos, malwares y otras amenazas. En segundo lugar –como siempre- debes mantener actualizado tu sistema. Si no tomas, al menos, estas dos precauciones principales, cualquier otra medida que tomes será inútil.

Antes de sumergirnos en lo específico, ten en cuenta que es indispensable que poseas diferentes contraseñas para todas tus cuentas. Si te resulta demasiado difícil recordarlas todas, puedes utilizar password manager, un administrador de claves que las recordará por ti.

Es muy importante que crees una cuenta de email cuyo propósito será recuperar las contraseñas de las demás cuentas. Es muy recomendable que utilices esta dirección con ese único fin. Deberá ser una cuenta secreta, que sólo tú tengas conocimiento de su existencia. También es una buena idea que tengas más de una dirección para recuperar tus contraseñas, para que no guardes todos huevos en una sola canasta, pero es entendible si no quieres tener demasiadas cuentas de mail. Tanto Microsoft como Yahoo cuentan con un servicio de alias que resulta muy útil para los usuarios que se resisten a expandir sus huellas. Por ejemplo, si tu cuenta es juanperez@outlook.com, puedes hacer una cuenta alias [dirección secreta]@outlook.com, que te llevará al mismo buzón de correo.

Para ser claros: poseer un mail para recuperar tus contraseñas es clave. Si alguien toma el control de una de tus cuentas, desde la cual puede resetear todas las demás, entonces estás acabado. En ese punto, todas tus cuentas estarán comprometidas.

Google

Comenzamos con Google. Lo primero que deberías hacer es respaldar tu cuenta de Google con tu cuenta de email de recuperación de claves. De esta forma, si tu cuenta es secuestrada, puedes enviar un pedido de reseteo de la clave a tu cuenta de mail y, así, recobrar el acceso a la cuenta secuestrada. Asimismo, deberías vincular tu cuenta con tu dispositivo móvil, para que puedas activar la autenticación de dos factores, que explicaremos a continuación.

Tu cuenta de Google tiene una sección de permisos, en la que puedes comprobar todas las aplicaciones y servicios que tienen acceso a tu cuenta de Google. Asegúrate periódicamente de que todo lo que está allí es legítimo. Si notas algo que no reconoces, investígalo. Si aun así no puedes identificarlo, lo más conveniente es que revoques su acceso a tu cuenta. Es posible que se trate de una aplicación legítima, pero también podría ser una aplicación maliciosa que le permita a un atacante acceder a tu perfil.

La razón por la que es importante que vincules tu cuenta de Google con tu dispositivo móvil es para establecer la autenticación de dos factores. Esta te permitirá aprobar cada loggeo a tu cuenta desde un nuevo dispositivo con un código de 6 dígitos que se enviará a tu teléfono por SMS. Lo admito, la autenticación de dos factores puede ser un poco molesta, pero representa una excelente barrera de entrada. Si un atacante quisiera ingresar a tu cuenta, tendría que o robar tu teléfono o hackear Google, que es posible, pero que aún nadie lo ha conseguido. También puedes establecer contraseñas específicas para cada aplicación si accedes a Gmail desde un Iphone u otros dispositivos donde la autenticación de dos factores no está disponible. Esto es, sin duda, un inconveniente, pero probablemente es una buena idea. Ahondaremos en esta idea en alguno de nuestros video-tutoriales más adelante.

Más alla de los dos factores, deberías establecer una alerta en tu teléfono para que puedas recibir un mensaje cada vez que alguien intenta cambiar tu clave o acceder a tu cuenta desde una locación desconocida. Además, mantén un ojo puesto en el registro de las actividades recientes para asegurarte de que todo es legítimo. Si ves algo sospechoso, y por sospechoso me refiero a actividades realizadas por alguien que no eres tú, entonces es tiempo de que cambies tu contraseña. Los dispositivos de Android y la billetera digital de Google –ambos accesibles desde tu cuenta de Google- guardan mucha información importante, como los datos de las tarjetas de crédito, por lo que resulta necesario que protejas esto con mucho cuidado.

Google security 2-factor

Por otra parte, vale la pena recurrir a medidas de seguridad específicas con tus provedores de tarjetas, cuentas bancarias online o los servicios de Google. Muchas personas utilizan una cuenta de Google con su propio dominio. Un atacante podría intentar secuestrar tu dominio y usar eso como chantaje para acceder a tus otras cuentas (como en el caso de @N) o incluso utilizar tu dominio como palanca para secuestrar todas tus otras cuentas (como en el caso de @mat).

Apple

En este punto, querrás tomar las mismas medidas de seguridad con tu Apple ID (si tienes una). Para acceder a ella debes visitar appleid.apple.com. De nuevo, es aconsejable que establezcas la autenticación de dos factores. De esta forma, obtendrás un código de acceso en tu dispositivo cada vez que intentes realizar algún cambio en tu cuenta de Apple ID. Esto es bueno por dos razones: la primera es que representa una segunda barrera de entrada, además de tu contraseña. La segunda razón es que si recibes un SMS cuando no estás accediendo a tu Apple ID, entonces es probable que alguien más esté intentando ingresar. Es probable que ya hayas establecido las preguntas de seguridad. Asegúrate de que no son fáciles de responder. A mí particularmente no me gusta establecer preguntas de seguridad, pero cuando tengo que usarlas, intento elegir siempre preguntas muy subjetivas, cuyas respuestas no puedan ser encontradas en Internet.

Asimismo, recomiendo establecer una cuenta de mail de rescate. El email que ya has vinculado con tu cuenta de Apple debería actuar como tu primer mail de rescate, pero no te dañaría tener otro. Esto podría resultar un poco obvio: asegúrate de que tu contraseña de acceso a tu Apple ID es lo suficientemente fuerte y diferente de tus otras contraseñas.

AppleID Security

NB: algunos servicios –como lo indica la historia de @N- aceptan los últimos cuatro dígitos de una tarjeta tu crédito como prueba suficiente de la titularidad de una cuenta. Apple no es uno de estos servicios, pero para aquellos que sí aceptan esto, es una buena idea dedicar una tarjeta de pago específica para cada una de esas cuentas. De esta forma, si un atacante descubre los últimos cuatro números de tu tarjeta de crédito, ese atacante sólo podrá comprometer ese servicio, en lugar de todos los que aceptan este método de comprobación de titularidad.

PayPal

Existen dos escuelas de pensamiento aquí. Por un lado, una cuenta de PayPal te abre un nuevo camino de acceso a tu cuenta bancaria online. Por el otro, PayPal es una forma efectiva para limitar la exposición de tu información bancaria online a proveedores de terceros. Por ejemplo: si compras algo en un pequeño comercio online, no existe forma de saber lo que en realidad está pasando en elprocesador de pagos. En estos casos, nadie puede garantizarte que no están almacenando tu información vital, como podría ser el número de verificación de tu tarjeta de crédito. Debido a esto, es una gran idea utilizar PayPal para transacciones en línea en las que no te sientes cómodo brindándole tu información de pagos directamente al comerciante.

Por otra parte, el servicio que ofrece PayPal es increíblemente conveniente, enormemente utilizado por los consumidores y aceptado por muchísimos comercios. PayPal –como muchos otros proveedores de servicios- plantea una máxima de “confía en nosotros”, al tiempo que ofrece una serie de protecciones sólidas. La primera de éstas es el límite de extracción, lo cual es bueno (a menos que tu cuenta resulte hackeada, en cuyo caso el atacante podría incrementar ese límite). Definitivamente recomiendo establecer un límite de extracción.

La Segunda –y más importante- es la posibilidad de establecer una “llave de seguridad”. Ellos no la denominan así, pero este servicio es muy similar a la autenticación de dos factores. PayPal ofrece un par de opciones a sus usuarios. Una, que es gratuita, es una autenticación de dos factores basada en un SMS. Tú le brindas a PayPal tu número de teléfono, aceptas las bases y condiciones y ellos te envían un código de acceso único cada vez que intentas loggearte a tu cuenta. De nuevo, este mecanismo de seguridad es muy útil porque aumenta la barrera de entrada, al tiempo que te alerta si alguien está intentando acceder a tu cuenta. Por otra parte, puedes pagar u$s30 y PayPal te enviará un creador de claves de tarjetas de crédito. Presionas un botón en tu tarjeta clave y genera un código de acceso único, similar a las tarjetas ID de seguridad.

PayPal también ofrece una opción para cambiar el mecanismo de validación de las llamadas a atención al cliente. Por defecto, se trata del número de la tarjeta de crédito, pero existe una opción para establecer un código especial para este propósito. Esta es una maniobra inteligente por las razones que ya indiqué anteriormente.

Más allá de esto, asegúrate de que tus contraseñas son fuertes y que tienes tu dispositivo vinculado con tu cuenta para que PayPal pueda alertarte si tus contraseñas fueron cambiadas o si hay alguna actividad sospechosa.

Twitter

tw

Si lo deseas, puedes encontrar un analisis mucho más completo sobre la seguridad de Twitter en Threatpost. En general, lo que debes hacer es establecer una contraseña fuerte y utilizar el servicio de autenticación de dos factores, por todas las razones que ya he planteado anteriormente. En Twitter la autenticación de dos factores se llama “verificación de loggeo”

Asimismo, deberías activar el servicio que requiere que ingreses información personal antes de que puedas resetear tu contraseña. Además de eso, activa las notificaciones por mail o SMS para las menciones y los mensajes directos, para que, si alguien hackea tu cuenta y comienza a enviar mensajes spam o tweets con malware, tus seguidores y amigos puedan notificarte de ello. Esto es algo que seguramente querrás saber lo antes posible. De esta manera podrás resolverlo a la brevedad.

Es importante que también mantengas un ojo puesto en las aplicaciones que se vinculan con tu cuenta. Incluso, si hay aplicaciones que ya no utilizas, deberías revocar su acceso. Aplicaciones que no utilizas son simplemente medios por los cuales los hackers podrían comprometer tu cuenta de Twitter.

Facebook

Las mismas ideas se pueden aplicar en Facebook. En primer lugar es muy importante que actives la navegación segura, si todavía no lo hiciste. Asimismo, configura las notificaciones de login, que te alertarán si hay un intento de acceso desde un navegador desconocido. Establece la aprobación de login, que es la variación de la autenticación de dos factores para Facebook.

fb

Esto permitirá que Facebook te envíe un código a tu teléfono, si alguien intenta ingresar a tu cuenta. También deberías considerar el generador de códigos, que es otra forma de manejar los intentos de loggeo de dos factores. En lugar de recibir un código por SMS, te loggearás a la aplicación de Facebook en tu móvil y este servicio generará un código de acceso para ti. Como en Google, puedes establecer contraseñas específicas para cada aplicación. Pero, a diferencia de Googe, Facebook posee un servicio que permite indicar amigos confiables. Esta es una forma de recuperar tu cuenta en caso de una emergencia. La emergencia podría ser que no tienes acceso a tu cuenta de mail de respaldo. Finalmente, como ya se ha dicho, mantente atento a las distintas sesiones activas para asegurarte de que fuiste tú quien las inició.

Amazon

Aquí utilizamos Amazon como sustituto de las tiendas web. Nuestro primer consejo –que se aplica a cualquier tienda online- es que evites almacenar allí la información de tu tarjeta de crédito. Algunas tiendas no te dan esta opción de no almacenar los datos, al tiempo que ingresas tu tarjeta de crédito o débito, la información es guardada en el sitio. Otros te preguntan amablemente si deseas almacenar la información de tu tarjeta o sólo utilizarla esa vez. Existen otras tiendas que almacenarán la fecha de tu tarjeta, pero –como Amazon- te permitirán administrarla. En estos casos, puedes guardar la información de tu tarjeta en los servidores y borrarla cuando desees.

amazon

 

Asegúrate de que tu contraseña es lo suficientemente fuerte, de que tienes tu cuenta respaldada con una cuenta de mail bien configurada y de que tu cuenta de Amazon está vinculada con tu dispositivo móvil.

Los servicios de host de Amazon ofrecen la autenticación de dos factores, pero su servicio de compras no. Por ello, asegúrate de que tu contraseña es lo suficientemente fuerte y de que tienes tu cuenta respaldada con una cuenta de mail bien configurada. Por último vincula tu cuenta de Amazon con tu dispositivo móvil.

LinkedIn

Así como en Facebook, es recomendable que, cuando ingreses a LinkedIn, te dirijas a la página de configuración de tu cuenta y habilites las conexiones seguras para navegar vía HTTPS. Desde allí también podrás activar la autenticación de dos factores. Es muy importante que siempre limites la publicación de información personal en lugares públicos. Especialmente en páginas como LinkedIn que contienen información sensible del lugar en donde trabajas y qué haces para vivir. Cuanta más información publicas, es más probable que los atacantes puedan ocupar tu lugar para obtener el acceso a tu cuenta. Asimismo, cuando más información publicas sobre tu trabajo, más probabilidades tendrá el atacante de poder atacar a tus colegas.

LI

Yahoo

Yahoo implementó recientemente las conexiones HTTPS, lo cual es muy bueno. Además cuenta con la autenticación de dos factores, que es recomendable utilizar. Recuerda configurar una cuenta de email de recuperación de claves. Yahoo utiliza también un servicio de preguntas de seguridad. De nuevo: asegúrate que tus respuestas no son fáciles de encontrar en Internet.

Yahoo también ofrece una interesante protección anti-phishing que utiliza un sello especial cuando los usuarios ingresan correctamente a una web legítima de Yahoo. De esta forma, si alguien te envía un enlace phishing que te redirecciona a una página falsa de Yahoo, podrás darte cuenta porque no llevará el sello de seguridad.

Ahondaremos más tarde en la configuración de seguridad y privacidad de Yahoo en un video tutorial.

Microsoft

Otro servicio de Microsoft que vale la pena resguardar es Xbox Live, especialmente considerando el gran incremento en la conectividad que trajo aparejado la nueva consola Xbox One. Francamente no he tenido oportunidad de investigar mucho la nueva consola, pero he utilizado Xbox Live en la Xbox 360 durante años. Si te loggeas a tu cuenta de Xbox Live, se te dará la posibilidad de realizar la autenticación de dos factores, de establecer una dirección de email de respaldo y de elegir si quieres recibir las notificaciones de seguridad. Estas son medidas muy importantes para mantener asegurada tu cuenta de Xbox Live, pero también es muy útil porque lo más probable es que tu cuenta de Xbox Live esté vinculada a una tarjeta de crédito. Los últimos cuatro dígitos de esa tarjeta, que –de nuevo- pueden utilizarse como prueba de la titularidad de la cuenta, son accesibles desde tu cuenta web.

Esto es todo por ahora, pero vuelve pronto para chequear nuestros video-tutoriales en los que seguramente examinaremos las configuraciones de seguridad y privacidad que debes tener en cuenta para éstos y otros servicios.

 

Traducido por: Guillermo Vidal Quinteiro

Consejos