Si has leído mi publicación acerca de algunos de los robos más grandes de tarjetas de crédito, te darás cuenta que en su mayoría han sido por negligencia del factor humano. Si bien es cierto que la seguridad de nuestra información debe ser implementada y controlada por los proveedores de servicios, como usuarios también podemos contribuir a mejorar el sistema, después de todo, es nuestra información la que está en juego.
¿En qué afecta un usuario descuidado en el prestigio de un sitio que intenta ser seguro?
He decidido escribir sobre estos temas, ya que en muchas ocasiones he encontrado contraseñas guardadas en los navegadores web de sitios públicos como cyber-cafés o laboratorios universitarios, y en algunos casos cuentas de Facebook o correos electrónicos abiertos. Una persona mal intencionada fácilmente podría guardar toda la información personal del usuario, realizar acciones que lo desprestigien frente a sus contactos o simplemente intentar bloquear la cuenta para perjudicar al despistado ser humano que ha fallado en algo tan básico como cerrar sesión.
El problema en estos casos, es que por muy seguro que sea un sistema, nunca aceptaremos nuestros errores y trataremos de desprestigiarlo aún cuando sabemos que pudimos ser parte del problema. Y más allá del hecho de perder la cuenta, supongo que todos estamos de acuerdo que lo más importante es la información que en ellas tenemos, más aún cuando se trata de información bancaria. Por ello es necesario que tomemos medidas para proteger nuestros datos sensibles.
¿Por qué nosotros?
Muchos expertos en seguridad informática concuerdan en que la principal amenaza contra la seguridad de un sistema es el factor humano… Estoy de acuerdo!!! Y es por eso que necesitamos ser responsables en nuestras acciones cuando hacemos uso de las tecnologías de la información.
¿Cómo lo hacemos?
No hacer uso de información sensible en lugares públicos
Como norma general no se recomienda que accedas a tus cuentas o ingreses información confidencial utilizando equipos públicos. En algunos Cybers los equipos no están protegidos, no se les da el mantenimiento o monitoreo necesario, en la mayoría de los casos, por lo menos para mí, son «centros de distribución de virus gratis» y por consiguiente existe la posibilidad de que haya instalado un Keylogger, que no es más que un programa informático malicioso que registra las pulsaciones del teclado, de este modo la persona que lo instaló luego podrá ver todo lo que los visitantes han escrito (así es… incluyendo contraseñas).
Esta norma aplica no sólo a los Cybers, si no a cualquier equipo con el que te conectes y que no sea de tu propiedad. Nunca se sabe qué puede haber instalado y cuáles son las intenciones del propietario. En la captura anterior puedes observar que estos programas, incluso, organizan la información capturada por usuarios, fecha y aplicación, en el ejemplo se escribió 123 en el explorador de Windows.
En ocasiones aunque no haya algún keylogger instalado también es posible que se capturen paquetes de información en algún dispositivo de red intermediario. Luego esos paquetes pueden será analizados en busca de información sin cifrar que el pirata informático pueda usar.
Con esto no intento decir que no se debe asistir a estos tipos de negocios, sin embargo, siempre es bueno tener estos aspectos en cuenta y algo que puede ayudar a mitigar un poco los riesgos es que conozcas a las personas que administran el negocio y te den un poco de confianza con relación a la seguridad implementada en los equipos.
Visitar sitios seguros
Si realizas compras en línea y vas a proporcionar información sobre tus cuentas o número de tarjeta de crédito, es extremadamente necesario verificar que sea un sitio seguro; que tenga antecedentes (por ejemplo amigos o familiares que ya hayan comprado), que esté asociado a una ubicación u oficina física) y que utilicen certificados de seguridad (SSL).
Los certificados de seguridad tienen como objetivo cifrar o encriptar la información que viaja desde el navegador web con destino al servidor donde se procesarán y almacenarán los datos.
Un servidor que implementan comunicaciones seguras le envía a tu computadora un certificado de autenticidad con una llave pública, cuando envías tu información, ésta es encriptada con la llave. Aún cuando la información sea interceptada, tomaría años para que pueda ser descifrada gracias a los mecanismos de encriptación actuales. Cuando la información llega al servidor, éste puede desencriptarla porque cuenta con la llave privada del certificado (la única que puede desencriptar tus datos).
Este método de encriptación es asimétrico, ya que cuenta con dos claves, en algunos sistemas se usa encriptación simétrica, donde el cliente (tu PC) y el servidor usan la misma clave para encriptar y desencriptar la información.
¿Cómo saber que el servidor implementa un certificado de seguridad?
Es tan sencillo como verificar la barra de dirección del navegador web. Sólo se debe tener en cuenta que no todos lo muestran igual, pero es fácil de reconocer por la tonalidad verde que se usa en la barra. En algunas ocasiones, en dependencia del tipo de certificado, se puede ver el nombre de la empresa en verde o simplemente ver que se usa el protocolo web seguro (HTTPS). Para ver el certificado se debe pulsar sobre el texto que aparezca en verde, de esta forma podemos verificar que la CA (autoridad de certificación) sea válida.
Existen muchos sitios en la red que no usan certificados de seguridad, principalmente porque no tratan con información financiera, o datos personales de los usuarios. En estos casos la información que se comparte es bajo la responsabilidad del usuario.
También es importante mencionar que el hecho de que se acceda a un sitio seguro no implica que un keylogger no pueda capturar la información, ya que la encriptación es solamente para el transporte de los datos a través de la «nube».
Verificar que el sitio que vemos sea el verdadero
Aunque parece mentira, muchos usuarios no ponen atención a la URL (dirección web) de los sitios que visitan. Imagínate el siguiente escenario: Estas navegando por una página, aparentemente tienen la información que necesitas, pero debes iniciar sesión o registrarte, tienes la opción de hacerlo con tu cuenta de Facebook, aceptas y te envía a la siguiente página:
¿Has notado cuál es el problema?.
No muchas personas verifican la URL, puedes ver que no es Facebook (https://www.facebook.com/) si no que se trata de un sitio falso (fb-nl.es.vu) con la interfaz gráfica de Facebook. Cuando el usuario escribe sus datos, éstos se envían al servidor de los piratas informáticos que luego podrán usarlos para acceder y tomar control de tu cuenta.
Proteger nuestras cuentas
Una forma de incrementar la seguridad de nuestras cuentas es cambiar las contraseñas periódicamente, éstas deben ser como mínimo de 8 caracteres y es preferible no guardarlas en formato de texto sin cifrar en ningún dispositivo. Existen algunas herramientas en línea que te pueden ayudar a comprobar qué tan «fuerte» es tu contraseña, por ejemplo: password.es.
En esta captura desde el comprobador de contraseñas puedes observar que aunque mi contraseña no es extensa, cumple con otros requisitos de seguridad como la combinación de mayúsculas, minúsculas, números y caracteres especiales. En ocasiones no es necesario inventarse una larga cadena de texto como GAx.25-lof23DoMPsw!, puede hacer una frase que se te haga fácil recordar y luego realizas unos pequeños cambios en los caracteres. Por ejemplo:
Frase: No me gusta estudiar
Ahora debes decidir cuáles serán tus códigos o reglas de cifrado, por ejemplo, puedo cambiar el espacio por ! (admiración), la letra «o» comúnmente por 0, las primeras letras de cada palabra en mayúscula, la letra «e» la puedo representar por un 3, la «s» con un 5, etc. El resultado sería algo así:
Contraseña: N0!M3!Gu5t@!35tud1@r
El código de cifrado tú lo decides, y aunque parece un poco complicado de escribir, vale la pena hacerlo en sistemas o cuentas personales que deseamos asegurar de una mejor manera.
Actualiza tus sistemas de protección
Muchos usuarios creen que tener instalado un antivirus es suficiente, está de más decir que no es cierto… Es necesario tenerlo siempre actualizado con las últimas definiciones de virus. ¿Pero qué tienen que ver con la navegación web?. Vivimos en una era donde la información la buscamos primeramente en Internet, en ocasiones aún cuando tenemos un libro físico sobre el tema, y los sistemas antivirus en su mayoría cuentan con sistemas de protección web, con bases de conocimientos que te ayudan a identificar sitios web con posibles scripts maliciosos.
Incluso los navegadores web también implementan mecanismos de detección y seguridad contra este tipo de sitios con posibles intenciones fraudulentas.
Hay otros elementos a tomar en cuenta para proteger nuestra información mientras navegamos en el océano de información que conocemos como Internet, sin embargo, aquí sólo quise exponer algunos elementos básicos, pero sumamente importantes para aclarar que la seguridad de la información no es responsabilidad solamente de los especialistas que desarrollan los sistemas, sino también de las personas que las consumen.
Mientras la humanidad no entienda que las buenas prácticas, la ética o la moral deben estar presentes en todos los ámbitos de nuestras vidas, seguirán existiendo personas inescrupulosas cuyo único objetivo es destruir las creaciones de las personas que se esfuerzan en su trabajo, y robar bienes que con tanto esfuerzo las personas se han ganado con el sudor de su frente.