Medidas de Seguridad y Privacidad Digital

medidas de seguridad

Hoy en día, casi todo lo que hacemos en internet tiene una repercusión en seguridad y privacidad importante que no podemos simplemente ignorar.

Para la mayoría de personas esto es desconocido, la privacidad y seguridad no es algo que está en la mente de todos. Pero todos somos responsables de proteger nuestra información y nuestra identidad en internet y la de nuestra familia.

Solo en la simple acción de navegar, si no tenemos cuidado podemos estar dando (sin saberlo) información sobre nuestra identidad que puede ser usada para muchos fines, desde recibir publicidad dirigida y personalizada hasta el robo de identidad con fines económicos.

Este es un cheklist de medidas de seguridad y privacidad básicas para proteger tus datos y tu identidad en internet. Trata de aplicar todas las que puedas y en lo posible enseña a las personas a tu alrededor a aplicarlas también.

La contraseña es la medida de seguridad tradicional, con el auge de nuevas tecnologías y nuevas formas de ataque, las contraseñas se han vuelto un poco obsoletas o inseguras, sobretodo si usas contraseñas débiles como «tu nombre» + «tu fecha de nacimiento».

Por suerte, y aunque te parezca una molestia la mayoría de sitios y aplicaciones te exige una contraseña robusta, es decir, uso de mayúsculas, números, signos especiales y como mínimo 8 caracteres.

Algunos hasta van un poco más allá y te indican si la contraseña que estás colocando es débil, media o fuerte.

Lo más recomendable es usar una contraseña diferente para cada sitio web o servicio que utilicemos. Por que? sencillo, si usas la misma contraseña para todo y te hackean una cuenta, podrán tener acceso a tus otras cuentas.

Pero…. estoy claro que esto es muy difícil, ímaginate! tendríamos por lo mínimo 25 claves.

Para hacerlo menos complicado, puedes hacerlo de la siguiente manera: usa una contraseña bastante robusta de 12 caracteres mixtos para los sitios con información sensitiva (banco, correo personal, iCloud, etc), otra clave diferente igual de robusta para cuentas no tan sensitivas como redes sociales y una tercera clave para todo lo demás, que no tiene datos sensitivos (esta igual de robusta eh!)

De esta forma solo tienes que aprenderte 3 claves, adicional, habilita 2FA para todo lo que puedas.

Recuerdas que te dije que las contraseñas ya están un poco obsoletas como medida de seguridad? Pues a raíz de eso (muchos problemas de seguridad) se creó el 2FA.

El 2FA consiste en un segundo método de autenticación, que puede ser:

  • Algo que sabes: una segunda contraseña, un número PIN aleatorio que te llega a tu teléfono por mensaje de texto, email o mensaje emergente (como los de iCloud) o la respuesta a una pregunta secreta, entre otros.
  • Algo que tienes: un token físico por ejemplo.
  • Algo que eres: alguna medida biométrica como tu huella, rostro, voz o iris.

Hoy en día puedes habilitar el 2FA en cualquier servicio, y esto agrega una capa adicional de seguridad ya que si alguien logra obtener tu contraseña, aún debe poder tener el segundo factor de autenticación para poder acceder a tu cuenta.

Mi aplicación preferida para generar tokens de 2FA es Authy. Se integra con casi todos los sitios web, servicios y redes sociales.

Quieres saber si un servicio que usas soporta 2FA? búscalo aquí.

Si mantienes varias contraseñas y a menudo te resulta difícil acordarte y tienes que estar restableciéndolas entonces es recomendable usar un administrador de contraseñas.

Con un administrador de contraseñas mantienes seguras tus contraseñas (algo mejor que anotarlas en un papel).

Algunos administradores de contraseña funcionan como 2FA, te recomiendo no tener ambas cosas juntas ya que añade un único punto de falla. Usa un app esclusivo para contraseñas y otro app diferente para 2FA.

Si usas dispositivos de Apple, el gestor de contraseñas de iOS, IpadOS o MacOS es suficiente. De las opciones comerciales, uno de los mejores y más seguros es 1Password.

La primera medida de seguridad en tu móvil es un código de acceso (aunque a veces tengamos habilitada las medidas biométricas).

Un código de acceso de 4 dígitos es débil, lo recomendado es que tenga mínimo 6 o preferiblemente que sea un código alfa-numérico (letras y números).

Cómo cambiar tu código de acceso en iOS o android.

Existe un ataque de hacking conocido como «SIM Hijacking» que consiste en transferir tu número de móvil a otra tarjeta SIM.

Esto se logra con otra técnica de hacking que se llama ingeniería social en donde básicamente convencen a un agente de atención al cliente de tu proveedor de telefonía (por ejemplo Tigo, Verizon, MasMovil, etc.) a habilitar otra tarjeta SIM para tu número de teléfono móvil.

Si tienes configurado 2FA y te llegan los códigos a tu teléfono móvil, alguien puede tener tu contraseña (de gmail o instagram por ejemplo), recibir el código de 2FA en el SIM nuevo y entrar en tu cuenta y cambiar el password de la cuenta.

Esto, creánme, para alguien que sabe cómo hacerlo y tiene un motivo, es relativamente fácil.

Si pierdes o te roban alguno de tus dispositivos (computadora, tablet, móvil) será difícil que traten de acceder a tu información ya que está cifrada.

Aquí te dejo algunos enlaces sobre cómo cifrar los backups de ios o dispositivos android, PC o Mac.

Los iphone y ipads están cifrados por defecto.

Navegar por internet es una de las actividades que más hacemos. Pero ¿lo estas haciendo de forma segura?

Quizá no tengas ni idea de la cantidad de datos que recopilan muchos sitios en internet, sobre todo aquellos cuyos servicios son gratuitos como Facebook. Seguro has escuchado el dicho «si es gratis, el producto eres tú«.

El gran negocio de la publicidad saca provecho de nuestros datos, de nuestras interacciones y gustos y de mucho de lo que hacemos en internet.

Sabías que hay sitios, que capturan todo lo que escribes en formularios de internet, incluyendo contraseñas que no están cifradas? Se han encontrado hasta 21 scripts de vigilancia distintos en un solo sitio. Es el alto costo de privacidad de los sitios gratuitos.

«The Social Dilema«, un documental en Netflix estrenado hace poco expone cómo algunas de las grandes compañías de internet hacen dinero con nuestros datos y manipulan lo que pensamos o sentimos mediante la información que nos muestran, sin que nos demos cuenta.

No estoy en contra de la publicidad en internet, mucho de lo que hago se basa en ello, en poder identificar tendencias de búsqueda, palabras claves, estadísticas de visitas a sitios web, etc., pero si estoy en total desacuerdo en que se compartan mis datos personales o mis datos de búsqueda y navegación, principalmente cuando con esos datos pueden hacer un perfilamiento que puedan asociar directamente a mi identidad, para cualquier fin, incluso algo «inofensivo» como mostrarme sigilosamente publicidad sobre cosas de mi interés intentando que compre algo.

Y mucho peor cuando toman esos datos y lucran con ello (que es lo que hace la mayoría de compañías) o intentan manipular mi percepción u opinión sobre situaciones o cosas de la vida real.

Los servidores de nombres de dominio (o DNS) son el directorio telefónico de la web. Transforman un nombre de dominio legible para humanos como firefox.com en una dirección numérica que el internet entiende.

Cada vez que entramos a una página web, los DNS están haciendo su trabajo por detrás.

Las implementaciones de DNS por lo general son lentas e inseguras. Aparte, muchos proveedores de internet registran los datos que llegan a sus servidores DNS y los venden a grandes compañías publicitarias en internet.

No es obligatorio que uses los que te proporciona tu proveedor automaticamente.

Existen servidores de DNS configurados con excelentes medidas de seguridad y privacidad, protegiendo tus datos de navegación a nivel de red y a la vez son más rápidos.

Los principales son el DNS de Cloudflare (1.1.1.1) y el DNS de Quad9 (9.9.9.9). Mira el video de cómo configurar estos DNS en Windows o en Mac. Configura ambos, como primario y secundario.

Un VPN, o Red Privada Virtual (por sus siglas en inglés) es una herramienta que te permite encriptar tu conexión a internet, haciendo que los datos que recibes y transmites están cifrados y no pueden ser leídos por cualquiera que este «escuchando» las conexiones.

Entre los datos que protegen están tus datos de navegación y los datos que insertas en sitios web o formularios que no están cifrados (no usan https).

Obviamente debe ser un VPN que no venda tus datos de navegación a ninguna empresa de anuncios en internet.

Los que recomiendo son ProtonVPN, IVPN y NordVPN.

Si estas de viaje o en cualquier lugar con internet abierto, usa siempre una conexión VPN como medida de seguridad para navegar.

Una vez has cifrado tu conexión a nivel de red, la siguiente capa de protección al navegar es utilizar un navegador que de verdad se preocupe por tu privacidad.

A nivel de usuario final, los más recomendados son Firefox, con su protección de rastreo mejorada, ayuda a mantener tu privacidad al navegar y Brave.

Safari, el navegador de Apple también es muy bueno, tienen un enfoque claro sobre la privacidad y bloquea los rastreadores por defecto.

Para usuarios un poco más avanzados, el peso pesado es Tor.

Si, adivinaste, no es Google. El rey de as búsquedas es el buscador que mas información recopila de nosotros. Es entendible, más del 80% de sus ingresos provienen de su negocio de publicidad. Conoce parte de lo que Google sabe de ti aquí.

El navegador indicado para esto es DuckDuckGo. Es un navegador enfocado en la privacidad de los usuarios. No almacena ni comparte los datos de búsqueda.

Las redes sociales son otro agujero negro en cuanto a recopilación de datos. Todo lo que hacemos, con quien interactuamos, nuestros intereses, etc.

Como punto positivo, la gran mayoría permite que los usuarios seleccionemos la cantidad de información que tienen de nosotros o cómo utilizarla a través de las configuraciones de privacidad. Aunque no sé hasta que punto esto sea de verdad efectivo.

En Facebook, puedes revisar tu configuración de privacidad, de seguridad, de anuncios, de localización, o de reconocimiento de rostro. Si, saben mucho de ti.

En Twitter, revisa la configuración de privacidad y las opciones generales.

En Google, revisa tus configuraciones sobre anuncios, actividad y el historial de ubicaciones.

En Instagram, revisa las opciones de privacidad.

Los apps de mensajería son quizá los más utilizados. Muchas veces compartimos información sensitiva de diferentes tipos.

Utiliza apps que usen cifrado de extremo a extremo, en donde solo tu y el receptor pueden leer los mensajes.

Los más seguros para usuarios finales actualmente son: Signal, iMessage y WhatsApp.

Actualización 8-enero-2021: WhatsApp ha dejado de ser una opción de mensajería privada. La última actualización de sus términos de privacidad deja muchos cuestionamientos ya que a partir de febrero 2021, el aplicativo enviará todos los datos de la aplicación, a excepción de los mensajes ya que están cifrados de punto a punto.

Te preguntarás por qué Telegram no está en esta lista. Pues porque Telegram no es realmente seguro, ha habido hace algunos años ciertas dudas sobre su protocolo de cifrado. Además, las comunicaciones cifradas de extremo a extremo no están habilitadas por defecto (debes habilitar el chat secreto con cada persona), por defecto, solo se cifra de extremo a la nube.

El Phishing es un ataque de ingeniería social en donde alguien trata de obtener datos sensitivos como tus contraseñas o intenta instalarte algún programa malicioso, haciéndose pasar por alguien o por alguna empresa o servicio,

Cada día, hay más intentos de phishing, por lo general a través de correo electrónico. Y a pesar de que los servicios de correo bloquean una gran cantidad de intentos, siempre se puede colar algunos, por lo que es muy importante que sepas reconocerlos. Nadie está 100% inmune al phising.

Mi regla número 1 es, no abro nada de alguien que no conozco o que me envía información que no solicité. No importa si es un enlace o un documento adjunto. Prefiero tener falsos positivos, y esperar que quizá esa persona me contacte por otros medios, a caer en un ataque de phishing.

Mi segunda regla es, si recibo un mensaje de alguíen que conozco, analizo el contexto, es decir, si la persona usa el tono o las palabras que generalmente usa, si lo que dice es coherente, etc., si tiene algún enlace, paso el cursor sobre los enlaces (sin dar clic) a ver si la dirección a la que me lleva es auténtica (por ejemplo dropbox.com en vez de droopbox.com o dropbox.ru) y a veces hasta busco contactar la persona por teléfono para validar que en efecto fue ella quién me envió la información.

Y como regla final, usa tu instinto, si tienen una sensación de que algo no esta bien entonces bórralo y no abrás enlaces o adjuntos.

¿Estas preparado para evitar el phishing? Haz este test corto y descúbrelo.

Las actualizaciones existen por algo más allá de ofrecer nuevas funcionalidades: corrigen fallas de seguridad que pueden ser explotadas de diferentes formas, a veces simplemente por navegar y visitar una página que tiene un exploit.

Mantén tu sistema operativo, los programas/apps, y tu antivirus siempre actualizado.

Como en muchos aspectos, el primer anillo de seguridad eres tú, incluso en lo digital.

No se vale decir «yo no sé de tecnología», si aprendes a usar Instagram Stories o editar videos en TikTok entonces puedes implementar todas estas medidas arriba expuestas.

No son ni complejas ni propias de un hacker, son medidas básicas para usuarios en general.

Estoy seguro que en este punto, sabes mucho mas sobre privacidad y seguridad en internet que lo que sabías ayer.

Si tienes dudas o quieres conversar sobre algún punto, puedes escribirme con confianza.