Para los que tienen cuentas en servicios de internet y redes sociales

-
Hola buenas tardes, tengo tiempo libre y hay muchos criminales informáticos que también, la presente entrada la realizo por ciertos eventos ocurridos en twitter el día 13 de julio del 2019 donde muchas personas fueron engañados con ingeniería social para conseguir acceso a sus cuentas, no solo twitter, la ingeniería social es mas vieja que la informática misma, aun así voy a intentar hacer una buena recopilación de buenas practicas y cosas que NUNCA se deben hacer cuando estamos hablando de nuestras cuentas y privacidad.

Soy muy exagerando con el tema y por ello espero que muchas de mis medidas extremas puedan ser convertidas en métodos mucho mas fáciles y baratos al alcance de todos, si bien es cierto mi trabajo como desarrollador ha sido facilitar el acceso a la tecnología, siendo incapaz de hacer que esas tecnologías sean inmunes a los ataques, siento que mi responsabilidad directa será enseñar a quien desee aprender como defenderse de forma extrema, con los mejores métodos, los consejos fáciles se encuentran en cualquier lugar, quiero aportar al debate y que vean las mejores medidas que la tecnología actual puede ofrecernos.

Para empezar voy a enumerar mis tres métodos preferidos para ser víctima de un criminal informático, cada uno tiene sus características, conocerlos no le hace mal a nadie y cuando me ponga a dar consejos espero que todos entiendan el objetivo de cada recomendación, incluso espero que sean capaces de tomar medidas individuales que no se me ocurren a mi:
  • Ingeniería Social: Consiste en obtener información vital por medios análogos, la frase estándar es "el usuario siempre es el eslabón mas débil en la cadena de seguridad", el atacante utilizará mensajes de texto, correo electrónico, llamadas y demás métodos comunes y humanos para obtener datos personales lo suficientemente buenos como para romper con la seguridad, hay 3 escenarios
    • Pretexto
      • "hola, le llamo de [INSERTE EMPRESA] por que necesitamos que nos brinde [DATO SENSIBLE]"
      • "Su cuenta ha sido hackeada, cambie la contraseña usando el siguiente enlace [INSERTE ENLACE SOSPECHOSO QUE NO PERTENECE A EL LUGAR DONDE TIENE USTED UNA CUENTA]"
      • "Envíenos el código de seguridad que acaba de llegar a su telefono"
      • "hola, [NOMBRE DE USUARIO], necesitamos conocer su contraseña para [INSERTE PRETEXTO]"
    • Phishing: llamar a un administrador de sistemas o alguien interno de la empresa y solicitarle datos para obtener no solo acceso a la cuenta de alguien, si no acceso a toda una empresa

    • Vishing: realizar una encuesta que parece inofensiva para encontrar algún dato de vital importancia que podría existir o no, cosas como la fecha de nacimiento o el nombre de una mascota no deberían ser una contraseña, pero hay gente que comete esos errores y por ende este método sigue siendo válido, aunque poco efectivo

    • Bait: dejo en un sitio publico un pendrive/CD/disquete/enlace que automáticamente robará datos sin que nadie pueda darse cuenta.

    • Quid pro quo: se llama a un numero ofreciendo algo y a cambio de una "ayuda", el atacante obtendrá información, normalmente te dirán que son de un servicio técnico y que son nuevos, que necesitan X y que a cambio te pueden ayudar con algún problema.

  • Hijaking: el atacante ha conseguido adueñarse de algún aparato físico o virtual (tu computadora, tu router, al servidor que te dice donde está google.com, tu navegador) ahora esa persona a tus espaldas y sin dejar muchas huellas puede guardar todo lo que haces en internet, incluso controlar tus cuentas sin conocer la contraseña por tener el control sobre aquello que te permite usar tus servicios, para este tipo de ataque hay que tener demasiados conocimientos técnicos y es posiblemente la forma mas rastrera de atacar a alguien, también entre las posibles técnicas de este ataque está el temido "hombre en el medio", alguien que en todo momento está escuchando entre tu terminal(pc, teléfono móvil...) y las paginas web o servicios que visitas.

  • Fuerza bruta: el atacante quiere perder tiempo, le gusta divertirse, quiere saber cuanto tiempo tardas en darte cuenta de que lo estás atacando, prueba con un diccionario y software automatizado, todas las combinaciones posibles hasta dar con tus contraseñas y lo peor es que en muchos casos lo va a lograr si tus contraseñas no son seguras.

Ahora bien, ya que todos aprendimos la importancia de la paranoia, algunas muestras de que sufres estos ataques es recibir correos de intentos de inicio de sesión o recuperación de contraseñas muy seguido, que de un momento a otro el icono de un candado que aparece en la barra de navegación se ponga en amarillo o desaparezca sin motivo aparente, que tu navegador o terminales tengan comportamientos erráticos o sospechosos, puede que alguien los esté utilizando.

Aterrizando con los consejos puedo decir que no hay formula efectiva ante un criminal sin escrúpulos bien educado, un criminal de los buenos puede entrar y salir sin ser detectado, incluso dejar una puerta abierta en tus equipos durante años y que jamás te des cuenta de que alguien tiene acceso, la mayoría de personas en nuestro tiempo les importa poco o nada aprender las cosas bien, este miedo hacia el criminal bien educado es bastante absurdo para cualquiera de nosotros, simples mortales pobres, si no tienes suficiente dinero para comprar una isla, nadie va a perder años de su vida en montar un ataque hijaking en condiciones, pero si que alguien por joder puede en cuestión de minutos descargar el software suficiente para hacer un ataque por fuerza bruta o montarse un pretexto para que le entregues tus cuentas, para los humanos normales ofrezco estos consejos infalibles:

  • El primero de ellos no es tan obvio, pero ninguna empresa te pedirá ningún dato personal, contraseña o clave, recuerda que tus redes sociales no solo tienen tus datos, saben quienes son tus amigos, tus enemigos, tus intereses, donde comes, donde duermes, con quien duermes y posiblemente también tengan en sus bases de datos los medios anticonceptivos que has usado a lo largo de tu vida, no necesitan información de ti, el único dato importante es a la hora de iniciar sesión, usuario y contraseña, nada más, si has perdido el control de tu cuenta, puedes recuperarlo utilizando tu correo electrónico, esto enlaza con el siguiente punto.
  •  Nunca debes tener la misma contraseña para dos servicios, jamás, tu correo electrónico debe tener la mayor seguridad que le puedas dar, tus redes sociales pueden ser mas permisivas, por que tu correo es mágico y te permite echar a quien sea que obtenga acceso, tu correo electrónico es tu vida, si tu contraseña es muy fuerte, activa la verificación en dos pasos también y si es posible que te compres una firma digital para usarla como método de inicio de sesión, mucho mejor(pero nadie lo hace, ni siquiera yo, de momento XD ).
  • Tu teléfono móvil es tu vida, por que en él deben estar sincronizados en tiempo real todos tus proveedores de correos electrónicos, cada 15 minutos como mínimo, es muy recomendable que tu teléfono tenga reconocimiento de huella digital, en mis tiempos de colegio conseguí descifrar en cuestión de segundos el pin de un amigo, los patrones son todavía mas fáciles de descifrar, o usas huella digital o contraseñas largas.

  • Tu computador portátil es el plan B, nunca tengas solo dos planes, tu portátil puede ser robada y en ese caso debes haberle puesto una contraseña muy segura también, si es posible tener algún software de seguridad que consiga bloquear o borrar toda la información del equipo en caso de robo, te lo recomiendo, algunos equipos cuentan con lector de firma digital, la firma digital debe ir en tu bolsillo, muy lejos del portátil, aunque te consigan robar la tarjeta, el pin de tu firma digital es una barrera infranqueable, puesto que las firmas digitales tienen memoria y al tercer intento fallido los chips de la tarjeta se auto destruyen y por tanto todos tus datos personales se han perdido para siempre.

  • Usa un computador de escritorio, teléfono móvil o tablet antigua como plan C, si te roban, debes tener siempre un equipo apagado en casa, volver de prisa y mientras pones la denuncia, desvincular todos los dispositivos robados de tus redes sociales y correos, así nos garantizamos tener un tercer medio de respaldo.
 A lo mejor parece paranoico, pero es el mejor método que puedo recomendar, nunca se es suficientemente desconfiado, para cumplir estas recomendaciones la primera ayuda que te doy es Firefox, el navegador web, tiene una opción para guardar las contraseñas de todas tus cuentas, este se puede sincronizar entre dispositivos, como factor de seguridad extra el navegador permite ocultar todas tus contraseñas con una contraseña maestra, literalmente estás ocultando tus datos personales y contraseñas, detrás de una segunda capa de seguridad, incluso es posible desvincular un aparato desde otro, consiguiendo que todos tus datos personales sean borrados del equipo en cuanto tenga acceso a internet.


Mi caja de juegos para crear contraseñas es la web howsecureismypasword.net, la web tiene una caja de texto, que usando magia arcana informática web, también conocida como javascript, es capaz de calcular cuanto tiempo tardaría un criminal en adivinar tu contraseña, rojo es el mal, amarillo es insuficiente, verde es el bien absoluto y cualquier numero por encima del billón de años es lo plus, usa contraseñas con formatos reconocibles y fáciles de recordar, ezkribe komo er chocu, ce un centefico o un hax30r, meter un @ y una Ñ siempre alargan el tiempo, al menos 3 números en medio de las letras, nunca es mala idea aumentar ese tiempo de descifrado y sobre todo, jamás olvidar las contraseñas.

Esta es mi propuesta, creo que algunas cosas son muy fáciles de hacer, otras son totalmente exageradas pero al mismo tiempo son lo mejor que hay, espero que con este pequeño tutorial puedan evitar a los criminales, cuidemos nuestra seguridad informática entre todos, habla con tus amigos del tema, habla con tu familia del tema y sobre todo, enseña a tus hijos a ser inmunes ante los delincuentes informáticos, un saludo a todos.

Comentarios

Publicar un comentario

Comente usted aquí

Entradas populares de este blog

Hablemos de difamación, parafilias y denuncias bien hechas

-
Imagen
Para nadie es novedad que hace unos años se me ocurrió tocarle las costillas a un acosador que defiende la homeopatía, nunca daba la cara, nunca decía cosas con sentido, simplemente era bastante bueno inventándose historias en su cabeza, me resultó divertido e incluso me invitó el amigo nDante a hablar del fenómeno en su canal, pero bueno, hoy resulta que el tipo manda un mensaje en un video de youtube de hace un año en donde yo pensé subjetivamente que era él y ahora con su nombre que no voy a decir, me estaba acusando de defender pedófilos, diciendo que quiere que lo demande cuando quien me acusaba en 2021 de cometer actos delictivos era él, honestamente si cae en difamación puede que lo haga, no creo que logre difamarme de todas formas, ya llevan como tres meses estos idiotas diciendo idioteces y no he tenido afectación por esa tontería, el punto es que el tipo es tan malo leyendo que me pedía que le denunciara legalmente en un comentario donde yo le decía que le había denunciado su
Read more »

Criticamos a pablito: "Atrapado en el cuerpo equivocado"

-
Imagen
Para quien no conozca al infumable caballero, este señor es un conspiranoico, cree que Trump es el presidente legítimo de estados unidos EN FUNCIONES, aunque actualmente sepamos que la cadena FOX NEWS fue condenada a pagar un monto nada despreciable por difundir esa falsedad con conocimiento de que era mentira, cree que las elecciones fueron falsas, cree en las teorías de conspiración de QAnon(conspiración que causó el intento de golpe de estado al capitolio el 6 de enero de 2021), defiende el mal llamado " Convoy de la Libertad " que en realidad fueron unas protestas realizadas por aquellos transportistas que tuvieron una amnistía para transitar libremente sin el requisito de estar vacunados y se negaron una vez el plazo se venció, llevadas y incentivadas por grupos antivacunas para derogar todas las recomendaciones sanitarias, esto simplemente para conceptualizar de quien hablamos. LOL, no, link aquí  que demuestra lo contrario Esta persona que no da una, que estudió un do
Read more »

El fruto de una era: Antiintelectualismo moderno

-
Imagen
Hablando en el chat de cierto streamer llegó la conversación de los estudios, donde como autodidacta siempre termino recomendando no estudiar por tener un título, si no por el saber como tal, por el placer de tener una herramienta más viviendo en tu cabeza y por supuesto para no quedarnos atrás en este mundo tan cambiante, el ambiente del chat y el streamer se volvió bastante agresivo en mi contra pero sobre todo en contra del conocimiento en general. Esta situación no es la única donde el rechazo al conocimiento se palpa en el ambiente, pero si la mas preocupante por que la media eran personas mucho mas jóvenes que yo, el streamer uno sin experiencia y que ha abandonado la universidad por haber matriculado una carrera obligado por sus padres, entiendo eso, comprendo que emocionalmente eso le pueda causar a esta persona un natural rechazo a la academia, lo que no me queda claro es por que directamente se rechaza también el estudio autodidacta, ya ha pasado bastante tiempo desde ese mom
Read more »