¿Es seguro salir a la calle? Dependiendo de dónde esté esa calle, puede serlo más o menos. E indudablemente, no es lo mismo pasear por la calle discretamente, que hacerlo haciendo una visible ostentación de riqueza. Por otro lado, hace muchos siglos que paseamos por la calle, mientras que la red solo está con nosotros desde hace alrededor de un par de décadas. Para salir a la calle, los niños reciben una serie de normas de educación, de advertencias y de protocolos que aspiramos a que se fijen como parte de su sentido común. En la red, sin embargo, nos aventuramos sin demasiado adiestramiento, con muy escaso bagaje con el que adiestrar nuestro sentido común. El caso de los jóvenes, los mal llamados “nativos digitales” cuyos padres parecen creer que “nacen sabiendo”, es todavía peor: la dejación de responsabilidades en su educación hace que, en un número tristemente elevado de casos, la falta de referencias les lleve a ser mucho más “huérfanos digitales”.
Partamos de una base: dado un incentivo adecuado, la seguridad no existe… O mejor, como dice el mítico Spaf, Gene Spafford: “El único sistema realmente seguro es uno que esté apagado, metido en un bloque de hormigón y completamente sellado en una habitación forrada de plomo protegida por guardias armados –y aun así, tengo mis dudas”.
Todo aquel usuario o sistema que suponga un incentivo suficientemente elevado hackear, puede ser hackeado. Aunque seas el mayor experto en seguridad del mundo, si alguien está dispuesto a invertir suficiente tiempo y recursos en penetrar tu seguridad por la razón que sea –económica, de orgullo o de otro tipo–, sin duda lo conseguirá.
He visto troyanos desarrollados a medida para determinadas personas o perfiles, esquemas vinculados a cadenas de confianza, metodologías de hacking social poco relacionadas con la tecnología pero prácticamente infalibles, métodos que requieren de un nivel de intervención escasísimo por parte del usuario… si el acceso a tu información supone un incentivo muy elevado para un tercero, podrás intentar dificultarlo, pero nunca impedirlo completamente. Exactamente igual que como sucede fuera de la red.
Dicho esto, lo que resultaría completamente absurdo, tanto como no cerrar la puerta de nuestra casa o como dejar nuestro coche abierto, es no protegerse. Sin llegar a la neurosis, pero es necesario establecer unas medidas de seguridad razonables. De nuevo, dependiendo del nivel de protección que precisemos: si eres famoso, o director de un banco, o gestionas información confidencial delicada, vas a tener que tomar medidas de protección mucho más sofisticadas de las que preciso yo como simple profesor.
¿Qué medidas de seguridad adoptar?
¿Qué tipo de medidas debe tomar un usuario medio, sabiendo como sabemos que el usuario es prácticamente siempre el eslabón más débil de la seguridad? La mayor parte de ellas son casi de sentido común, pero conviene recordarlas:
- Utilizar contraseñas razonablemente robustas. Nunca usar la misma para todo, y, preferentemente, utilizar un generador de contraseñas, del tipo LastPass, Mitro, Password Safe y similares.
- En nuestro smartphone, tener claro el procedimiento con el que llevar a cabo un borrado remoto en caso de pérdida o robo, o instalar alguna aplicación móvil (app) del tipo Cerberus.
- Antes de instalar cualquier cosa, asegurarnos de que la fuente es fiable. Muchas apps en las tiendas de aplicaciones son susceptibles de comprometer nuestra seguridad. Si tienes dudas, antes de instalártela, mira con cuidado los comentarios de otros usuarios, o haz una búsqueda con su nombre.
- Los mensajes de advertencia de nuestro ordenador deben proceder de una acción nuestra, no ser espontáneos ni aparecer cuando accedemos a una página web. Si tu ordenador te propone instalar algo o cambiar algún parámetro sin que hayas iniciado tú la operación, sospecha.
- El correo electrónico: por alguna razón, muchos usuarios bajan la guardia ante ese canal. Nunca hacer clic en un enlace en un correo electrónico. Como mínimo, copiar el enlace y pegarlo en nuestro navegador, para así poder inspeccionarlo. Si no corresponde a un dominio conocido o razonablemente asociado con el emisor, no utilizarlo. Si nos lleva a una página que solicita nuestras credenciales de acceso, sospecha, y plantéate si es lógico que esa página se comporte así. Atento a las variaciones del dominio, nombres de marcas mal escritos, etc. Ah, y nunca envíes números de cuenta, contraseñas de acceso, etc. por correo electrónico.
- Cuando ves una oferta demasiado buena para ser verdad, es porque efectivamente es demasiado buena para ser verdad. No, desengáñate: jamás te va a tocar una lotería que no jugaste, nunca va a aparecer nadie a regalarte nada porque sí, no tienes parientes misteriosos en ningún remoto país africano, y los productos nunca se ofrecen a precios absurdos. Compra en sitios seguros, conocidos, con buena reputación.
- Activa la verificación en dos pasos para aquellos servicios que consideres sensibles. Tener que esperar un instante para recibir un código mediante un SMS en algunas ocasiones no es un perjuicio tan grande.
- Ten cuidado desde dónde accedes. Las WiFi abiertas no son una buena idea. Si vas a necesitar acceder desde hoteles, congresos, salas de aeropuerto, etc., utiliza una VPN. Según la funcionalidad que necesites o que valores más, escoge la más adecuada.
- Estate atento a las noticias. No se trata necesariamente de que leas páginas especializadas en seguridad, pero sí es bueno que estés al corriente si ha habido un robo de información en un servicio determinado que utilizabas. Comprueba si los correos electrónicos que usas habitualmente han sido afectados en servicios como Have I been pwned? Si lo están, cambia la contraseña correspondiente.
.png "English"){kind=small}
