En una publicación anterior en nuestra página web hacíamos referencia al caso de Mat Honan, un redactor de la revista Wired y colaborador del blog de tecnología de Gizmodo, quién ha visto como un hacker – mediante técnicas de ingeniería social – le borraba completamente su ordenador portátil, iPhone e iPad con la única finalidad de acceder a su cuenta de Twitter. De paso, y con el mismo propósito de impedirle cualquier posibilidad de reacción, también se borraron todos los contenidos de su cuenta de Gmail.
Honan en un artículo comentando su caso ha admitido que algunos “descuidos” en sus rutinas de seguridad tuvieron unas consecuencias catastróficas ya que, de otro modo, algunas de las pérdidas sufridas hubieran sido reversibles.
Por supuesto ningún sistema es impenetrable; incluso tomando precauciones puede ocurrir que, en ocasiones, nuestros equipos se pueden ver infectados por malware (software aparentemente legítimo pero que contiene código malicioso) o virus (sobre todo los troyanos). En el ultimo Informe de Actualidad CCN-CERT (IS-16/12) se describen algunos procedimientos usados por los hackers. No obstante además de ciertas buenas prácticas en el uso de software sí podemos adoptar ciertas medidas adicionales en nuestra actividad diaria que pueden dificultar enormemente los intentos para acceder a nuestros datos a la vez que minimizan los efectos de un hipotético ataque. Como base de este artículo usamos el publicado por Wired sobre este tema, si bien lo intentamos adaptar a la realidad española.
1. Usar la verificación (autenticación) en dos pasos para Gmail y otros servicios de correo
La verificación en dos pasos mantiene segura una cuenta de correo incluso si nos roban, o consiguen mediante un “ataque por fuerza bruta”, nuestra contraseña. Una vez que activamos este servicio cada vez que intentamos (o se intenta) acceder a nuestra cuenta es necesario introducir un código que nos envían al móvil. Como alternativa Google también ofrece la posibilidad de descargar una aplicación en nuestro móvil que genera códigos sin necesidad de que nos sean enviados de manera remota lo que es una ventaja. (en las condiciones del servicio no queda claro del todo si el coste del SMS es gratuito o lo paga el usuario)
Amazon web services y Rackspace cloud service, junto con otros servicios y sitios web (han desarrollado un plug-in para WordPress) han adoptado, opcionalmente, la verificación en dos pasos mediante el uso compartido de la herramienta de Google para generar códigos instalada en el móvil (tiene que ser un smartphone).
Como alternativa a esta doble barrera a los atacantes está la posibilidad de indicar a Google que recuerde a tu ordenador (cada ordenador tiene un identificador único) durante 30 días. Tanto en este caso como el anterior todo pasa por no dejar que nadie ajeno al usuario (o sin su consentimiento) tenga acceso al teléfono ni el ordenador (junto con las contraseñas, claro está)
2. Uso de SSL o VPN cuando se utilice un ordenador público, ajeno o una red WiFi
Una forma de asegurarse tanto la privacidad como la autenticidad de las páginas web que usamos es mediante el uso de páginas seguras de acceso (https) que usan encriptación SSL; esto vale tanto si usamos ordenadores de uso público como si lo hacemos desde casa. Para ordenadores domésticos es muy útil la herramienta multinavegador creada por la Electronic Frontier Foundation’s HTTPS Everywhere tool. Una alternativa adicional es el uso de una Red Privada Virtual (VPN) para evitar que nuestros datos sean observados por alguien en la red.
3. Uso de contraseñas únicas
Aunque es un engorro hay que evitar el uso de la misma contraseña para cuentras y servicios diferentes (correo electrónico personal, el del trabajo, la banca on-line, las redes sociales, las tiendas virtuales, … ), Si la seguridad de un sitio se ve comprometida y se filtran las contraseñas (cosa que ocurre con bastante frecuencia) los hacker sólo tienen que probar la contraseña una y otra vez para lograr acceso a todos nuestros datos. Para los usuarios de Firefox hay un complemento (add-on) que monitoriza la repetición de las contraseñas y las muestra de la misma manera que otro complemento Collusion hace con nuestro tráfico de red.
4. Uso de contraseñas complejas para las cuentas y servicios más importantes
Pese a la insistencia de todos los expertos de seguridad sobre la “fortaleza” de las contraseñas (deben contener más de ocho caracteres e incluir letras, números y caracteres especiales) los usuarios siguen insistiendo en usar contraseñas recurrentes como “contraseña” o cadenas de numeros del tipo “12345678”. Los expertos insisten en el uso de generadores automáticos de contraseñas para los distintos sitios o servicios que permiten controlarlas todas con una única contraseña maestra, dos ejemplos son LastPass y 1Password. Ya sea para recordar esta contraseña maestra o para el uso habitual se recomienda el uso de frases simples y largas más que el de una contraseña corta y críptica, el uso aleatorio de espacios y la sustitución de caracteres hacen una de estas contraseñas muchísimo más difícil de romper con un ataque por fuerza bruta. Por supuesto hay que evitar expresiones comunes y frases recurrentes dado que muchos de los ataques por fuerza bruta comienzan con el uso de diccionarios. Se recomienda la elección de una frase al azar de un libro o el uso de tres o cuatro palabras clave, encadenadas, que sólo tengan significado para el usuario.
5. No hay que vincular cuentas
Al darnos de alta como usuarios en nuevos sitios, se nos ofrece la posibilidad de usar credenciales de otros sitios o servicios en lugar de dar de alta un usuario y contraseña nuevos. En este caso, si se toma el control de ese servicio de referencia también se tomará el control de la cuenta en el sitio vinculado. De la misma manera, a la hora de administrar páginas institucionales, si se hace con una cuenta personal se está comprometiendo la seguridad en ambas direcciones.
6. Cuidado con las preguntas “habituales” de seguridad.
Al dar de alta una cuenta se nos piden, en ocasiones, que demos respuestas a preguntas pre-determinadas del estilo “¿Cómo se llamaba tu abuela?” ó “¿En qué instituto estudiaste? Si ponemos respuestas conocidas o que se puedan obtener con una simple búsqueda en Google nuestra cuenta será fácilmente pirateable con sólo indicar que hemos olvidado la contraseña e iniciar el proceso de recuperación. La alternativa es usar preguntas no habituales (suele haber una posibilidad para personalizarlas) con respuestas que sólo conocemos nosotros o, bien, dar respuestas que no coincidan con la realidad (al menos no con la que se pueda obtener a través de Google).
7. Hay que hacer copias de seguridad periódicas
Los usuarios ven como, periódicamente, sus equipos sufren un problema irreparable y se enfrentan a la pérdida de datos. No sólo se trata de garantizar la privacidad de nuestros datos sino de no perder documentos vitales por no contar con, al menos, una copia. La mayoría de los sistemas operativos permiten ejecutar copias de respaldo periódicas y administrar el espacio que se usan en las mismas (borrando las mas antiguas). Si bien los usuarios de Apple cuentan con Time-Vault (auxiliado por dispositivos de hardware como la Time-Capsule) los sistemas operativos de Windows posibilitan, desde hace muchos años la obtención de copias parciales o totales del sistema, posibilidad que Windows 7 no sólo ofrece por defecto sino que recuerda recurrentemente si no se establecen políticas de copia de seguridad periódica.
Otra opción, para recuperar rápidamente sistemas es la obtención de una imagen de disco que permite recuperar una copia exacta no sólo de nuestro sistema de archivos sino del sistema operativo y aplicaciones, lo que facilita la recuperación en caso de fallo crítico en el sistema de almacenamiento.
8. Encriptar los ficheros críticos
Para impedir el acceso y uso de ficheros por terceros no autorizados una opción, cada vez más factible, es encriptar los ficheros e, incluso, unidades enteras del sistema. Si bien era una operación engorrosa el aumento de velocidad de las máquinas y los discos hacen que sea una operación recomendable.
9. Cuidado con el uso de tarjetas de pago
En el caso que motivó este artículo, Mat Honan, el uso de la misma tarjeta en Apple y Amazon, que tenían distintas políticas de seguridad, facilitó el “trabajo” del hacker. Quizás el método más sencillo sea eliminar de los sitios web donde compramos las “tarjetas” habituales (si es que usamos más de una) y, sobre todo, el uso de tarjetas-monedero que podemos cargar justo antes de realizar una compra por Internet. La mayoría de los bancos recomiendan esta política y suelen informar a sus clientes sobre las posibilidades que ofrecen en este sentido.
10. Conclusiones: Nos acordamos de Santa Bárbara cuando truena
Por lo general los usuarios sólo se ocupan de la seguridad cuando tienen un problema (casi) irreversible. La seguridad del sistema (sobre todo de los corporativos) se suele ver comprometida por el eslabón más débil (el usuario que menos precauciones toma) pero también porque (aunque no exista tal usuario o todos sean iguales en su descuido) se estima que las políticas de seguridad son costosas o complicadas y no se ponen en práctica. Siempre hay que recordar que la recuperación de un problema (ya sea de seguridad o de integridad de datos) suele ser más costosa que un sistema nuevo y, siempre, implica la re-construcción del mismo (por lo que costará el doble – al menos – de lo que se intentó ahorrar).
La instalación de antivirus residentes en nuestro sistema, la actualización constante del mismo, la revisión periódica con herramientas de análisis de spyware y malware, y – sobre todo- una cuidadosa política de acceso y navegación son indispensables. Las recomendaciones señaladas forman parte de esa política, o código, de navegación y deben ser verificadas constantemente, sobre todo para evitar su obsolescencia por la constante actualización de los procedimientos de los piratas informáticos.