La guía de Motherboard para no ser hackeado

Internet puede ser un lugar terrorífico en el que los hackers roban cientos de millones de contraseñas con sólo un movimiento o causan apagones a larga escala. El futuro probablemente no será mejor cuando ocurran desastres reales causados por equipos conectados a internet, cuando hayan robots inteligentes que te pueden matar, lleguen los computadores voladores y exista el peligro de que un hacker obtenga tus datos genéticos.

Pero hay buenas noticias. No hay necesidad de tener miedo. Los hackeos y las brechas de datos son peligros reales que están en aumento, pero existen pasos muy simples que puedes dar para mantenerte seguro en internet y vamos a decirte cuáles son.

Hay un par de cosas que necesitas saber antes de entrar en los detalles de esta guía. Primero, no existe la seguridad perfecta. Si alguien te quiere hackear y tiene los recursos para hacerlo, lo hará. Segundo, lo más importante a la hora de pensar en mantenerte seguro mientras estás en línea es algo que probablemente no has pensado antes: qué datos estás intentando proteger y de quién. En jerga hacker esto se conoce como "modelo de amenaza".

Ningún plan de seguridad es idéntico a otro. Qué tipo de protección necesitas depende de quién está intentando ingresar a tus cuentas o leer tus mensajes.

¿La amenaza es una ex que intenta ingresar a tu cuenta de Facebook? Entonces un buen comienzo es estar seguro que ella no sabe tu contraseña (no compartas contraseñas importantes con personas, no importa quien sea; si estamos hablando de Netflix, asegura que no estás utilizando esa contraseña en ningún otro lugar). ¿Estás intentando que los doxers oportunistas no puedan acceder a distintos tipos de información personal, como el día de tu cumpleaños, lo que puede ser utilizado para encontrar otros detalles personales? Estar atento sobre qué tipo de cosas públicas en las redes sociales es una buena idea. Una autenticación de dos factores (abajo hay más sobre esto) puede frustrar a los criminales más serios.

Pero el sobrestimar tu amenaza puede terminar de otra manera: si comienzas a utilizar sistemas operativos hechos a medida, máquinas virtuales o cualquier cosa técnica que no es realmente necesaria (o que no sabes utilizar), también puedes sufrir. En el mejor de los casos, cualquier tarea por simple que sea te tomará un poco más de tiempo; en el peor de los casos sentirás una falsa seguridad debido a estos aparatos y artilugios, dejando de lado tu amenaza particular.

Con esto en mente, acá hay unos consejos básicos que puedes llevar a cabo para prevenir la mayoría de las amenazas que existen en línea.

Probablemente lo más básico e importante que puedes hacer para protegerte es utilizar software actualizado. Esto significa utilizar una versión actualizada de cualquier sistema operativo que estés utilizando y actualizar tus aplicaciones y programas. Con esto en mente no necesariamente necesitas utilizar la última-última versión de un sistema operativo como, por ejemplo, Windows 10 (en algunos casos, versiones no muy antiguas de algunos sistemas operativos reciben parches. Disculpen, pero este no es el caso de Windows XP, es hora que dejen de usarlo). Lo más importante es que tu sistema operativo siga recibiendo actualizaciones de seguridad y que las estés instalando.

Si sólo te quedas con una lección de esta guía que sea esta: actualiza, actualiza y parcha, parcha, parcha.

Muchos ataques toman ventaja de los errores en las versiones antiguas de algunos programas como navegadores web o lectores PDF. Al tener todo actualizado hay menor chance de ser víctima de un ransomware.

Tenemos muchas contraseñas que recordar, es por esto que las personas utilizan las mismas una y otra vez. Y pese a que nuestros cerebros no lo hacen mal a la hora de recordar las contraseñas, es casi imposible recordar 20 o más contraseñas únicas y seguras.

Las buenas noticias es que la solución para estos problemas ya existe: los administradores de contraseñas. Estas aplicaciones recuerdan las contraseñas por ti, crear buenas contraseñas automáticamente y simplifican tu vida en línea. Cuando utilizas un administrador, todo lo que necesitas recordar es una contraseña, la que desbloquea la bóveda de contraseñas.

Intuitivamente piensas que no es muy buena idea guardar las contraseñas en tu computador. ¿Qué sucede si un hacker logra acceder a el? ¿No será mejor mantener las contraseñas en mi cabeza? No realmente: en la mayoría de los modelos de amenaza de las personas, el riesgo que un ladrón aproveche una contraseña en un sitio web es mucho mayor que el de un hacker deje caer una carga de lujoso malware en tu computador. De nuevo, todo está en entender tu modelo de amenazas.

Entonces utiliza alguno de los muchos administradores de contraseñas que existen, no hay razón para no hacerlo. Esto hará que tu (y todos nosotros) estemos más seguros e incluso hará que tu vida sea más fácil.

Tener contraseñas únicas y poderosas es un importante primer paso, pero incluso esas puede ser robadas. Para tus cuentas más importantes (como tu email principal, Facebook y Twitter) quizás quieras tener una capa extra de seguridad conocida como autenticación de dos factores (o dos pasos o 2FA).

Al activar la autenticación de dos factores, necesitas más que una contraseña para entrar a estas cuentas. Usualmente es un código numérico enviado a tu teléfono celular, o puede ser un código creado por una aplicación (lo que es útil cuando tu teléfono celular no tiene cobertura al momento en que estás ingresando).

Se ha hablado mucho recientemente sobre el por qué los teléfonos celulares no sirven como aparatos 2FA. El número de teléfono del activista Deray McKesson fue secuestrado, lo que significa que los hackers pudieron recibir los códigos de seguridad de forma directa. El instituto nacional de estándares de tecnología (NIST por sus siglas en inglés), parte de gobierno de Estados Unidos y dedicados a escribir directrices sobre normas y medidas de seguridad, recientemente desaprobó el uso de 2FA a través de mensajes de texto.

El ataque a Deray fue de baja tecnología: esencialmente involucró a su compañía de teléfonos, lo que le dieron una nueva tarjeta SIM a los atacantes. Es difícil defenderse contra eso y además hay otras maneras de recibir estos códigos, porque los mensajes de texto pueden ser (en teoría) interceptados por alguien que se aproveche de las vulnerabilidades que existen en el sistema que lleva nuestras conversaciones. También está la posibilidad de utilizar IMSI-catchers, también conocidos como Stingrays, el que intercepta las comunicaciones y también el código de verificación enviado a través de un mensaje de texto.

Pero aparte del truco de conseguir una nueva tarjeta SIM, estos ataques no son fáciles de lograr, no sólo porque requieren hardware específico como los stingrays, también porque estos son relativamente caros. Entonces para la gran mayoría de las personas el 2FA es todavía una medida robusta para lo que fue diseñada: agregar una capa extra de seguridad por sobre tu contraseña, la que puede ser robada o perdida.

De poder y si el sitio web te lo permite, podrías utilizar otra opción 2FA que no esté basada en mensajes de texto, como una aplicación de autenticación en tu teléfono (un ejemplo es Google Authenticator) o con un aparato físico como la Yubikey. Si esta opción está disponible para ti, es muy buena idea utilizarla. Pero sería un poco tonto desechar 2FA completamente, sobretodo si no estás bajo ataque.

2FA es una gran forma de hacer casi imposible que un cibercriminal común puedo entrar a tus cuentas más importantes. Acá puedes ver los servicios que lo ofrecen y cómo funciona.

No uses Flash: Flash es, históricamente, una de las piezas de software más inseguras que han estado en tu computador. Los hackers aman Flash porque tiene más hoyos que un queso suizo. Las buenas noticias es que mucho de la web se ha alejado de Flash, por lo que ya no lo necesitas más para poder disfrutar de una experiencia rica y destacada a la hora de navegar. Considera borrarlo de tu computador o, al menos, cambiar las opciones para que tengas que hacer click cada vez que quieras correr Flash.

Usa un antivirus: Si, has escuchado esto antes y (por lo general) es verdad. Los antivirus, irónicamente, están llenos de problemas de seguridad, pero si eres una persona que no tiene riesgo de ser blanco de hackers apoyados por alguna nación o por criminales bastante avezados, tener un antivirus todavía sigue siendo una buena idea. De todas formas está lejos de ser una panacea y en el 2016 vas a necesitar mucho más que esto para mantenerte seguro.

Utiliza algunos plugins de seguridad: algunas veces todo lo que un hacker necesita es enviarte hacia el sitio web correcto, uno que esté plagado de malware. Por esto es que vale la pena utilizar plugins simples, de esos que instalas y te olvidas de ellos, como los adblockers que te protegen de los virus presentes en la publicidad (malvertising, como se le llama en inglés) los que están presentes en los sitios más oscuros que puedas encontrar en la web. Nosotros naturalmente preferimos que le des acceso a Motherboard, ya que nuestra publicidad nos ayuda a seguir funcionado.

Otro plugin muy útil es HTTPS Everywhere, el que obliga que tu conexión sea encriptada (cuando el sitio lo permite). Esto no te ayudará si el sitio web que visitas tiene malware, pero en algunos casos previene que los hackers te redirigen a versiones falsas de este sitio (si es que una versión encriptada está disponible) y por lo general te protegerá contra los ataques que intenten entrometerse en tu conexión hacia el sitio legítimo.

Utiliza VPN: si estas conectado a Internet en un espacio público, ya sea un Starbucks, un aeropuerto o incluso en un apartamento de Airbnb, estas compartiendo la conexión con personas que no conoces. Y si hay un hacker en la misma red este puede perturbar tu conexión e incluso tu computador.

No te sobre expongas sin razón: las personas aman compartir todo la información sobre sus vidas en las redes sociales pero, por favor, te rogamos que no tuitees una fotografía de tu tarjeta de crédito. Generalmente es bueno darse cuenta que una actualización en las redes sociales, por lo general es un post que cualquier persona en internet puede darse el tiempo de revisar, incluso se pueden adivinar tu dirección por las rutas en las que corres en sitios como Strava y otras redes sociales para corredores y ciclistas.

La información personal, como tu dirección o el colegio al que asististe (o el nombre de tu mascota, el que está a una búsqueda de Google de distancia) puede ser utilizado para encontrar más información utilizando sistemas de ingeniería social. Mientras más información personal obtenga el atacante, aumenta la posibilidad que alguien pueda acceder a una de tus cuentas. Pensando en esto, considera aumentar las opciones de seguridad.

No abras archivos atachados sin tomar precauciones: por décadas los cibercriminales han escondido malware dentro de archivos atachados como documentos de Word o PDF. Los antivirus algunas veces pueden detener estas amenazas, pero es mejor usar el sentido común: no abras archivos (o hagas click en links) de personas que no conoces o que no estás esperando. Y si realmente lo quieres hacer, utiliza precauciones como abrir los archivos en Chrome (sin bajarlos a tu computador). Hay algo incluso mejor, guarda el archivo en Google Drive y luego abrelo en Drive, lo que es mucho más seguro porque el archivo está siendo abierto por Google y no por tu computador.

Desactiva los macros: los hackers pueden usar los macros de Microsoft Office dentro de los documentos, para poder propagar el malware en tu computador. Es un viejo truco pero volvió a estar de moda para propagar ransomware. ¡Desactivalos!

Haz respaldo de tus archivos: No estamos diciendo nada nuevo, pero si estas preocupado que los hackers destruyan o bloqueen tus archivos (con ransomware), entonces necesitas respaldarlos. Idealmente hazlo mientras estás desconectado de la red y utiliza un disco duro extern, de esta forma si tu computador recibe un ransomware, el respaldo no estará infectado.

Esto es todo por ahora. Nuevamente, esto es sólo una guía básica para un usuario de computadores promedio. Si eres un activista de derechos humanos trabajando en una zona de guerra, o perteneces a una organización que está construyendo infraestructura informática, los consejos anteriores no son suficiente y necesitas tomar más precauciones.

Estos son consejos esenciales que todos deberían conocer.

Por supuesto que algunos lectores no dejarán pasar la oportunidad de señalar todo lo que faltó en esta guía y queremos escuchar sus comentaros. La seguridad esta cambiando constantemente y un buen consejo hoy puede no ser un buen consejo mañana, nuestra tares es mantener esta guía actualizada regularmente, entonces por favor contáctanos si crees que hay algo que está mal o algo falta.

Y recuerda, ¡Siempre debes estar alerta!