Todos los d√≠as o√≠mos noticias sobre fallos de seguridad, virus, o grupos de hackers sin escr√ļpulos que pueden ponerte en apuros, o peor, poner en apuros todo un pa√≠s. ¬ŅQu√© hay de cierto en todos estos peligros digitales? Hemos pedido a varios expertos en seguridad electr√≥nica que nos separen los hecho de los mitos. Esto es lo que han dicho:

1.- Tener una contrase√Īa fuerte realmente puede prevenir la mayor√≠a de ataques

El jefe de seguridad de Facebook, Alex Stamos, se ha pasado la mayor parte de su carrera buscando brechas de seguridad y tratando de descubrir c√≥mo tratan los hackers de sacar provecho a esos fallos. A lo largo de su carrera ha visto de todo, desde los ataques m√°s retorcidos a las estafas mas sencillas de ingenier√≠a social. En ese tiempo, lo que ha descubierto es que hay dos soluciones muy simples para la amplia mayor√≠a de usuarios: una contrase√Īa fuerte y verificaci√≥n en dos pasos.

Advertisement

Stamos cree que el mayor problema es que las noticias se centran en los casos de ataques más complicados y eso deja en los usuarios cierta sensación de que no pueden hacer nada para defenderse por sí mismos, pero eso no es cierto. Stamos escribe:

He notado un mont√≥n de nihilismo en los medios de comunicaci√≥n, los expertos en seguridad y la propia opini√≥n p√ļblica desde que los documentos de Snowden se hicieron p√ļblicos. Este nihilismo suele expresarse levantando las manos y diciendo: ‚ÄúNo hay nada que pueda hacer para estar a salvo‚ÄĚ. Es cierto que una persona normal no puede hacer mucho contra la infraestructura de una gran agencia de inteligencia capaz hasta de reescribir el firmware de un dispositivo, pero eso no deber√≠a disuadir a los usuarios de hacer lo que est√© en sus manos para protegerse de amenazas m√°s probables, y a los expertos en seguridad de crear sistemas de protecci√≥n pr√°cticos contra adversarios mas reales.

A nivel de usuario, las personas pueden protegerse contra los ataques m√°s probables y da√Īinos con solo seguir dos simples pasos:

1) Instalar un programa de gesti√≥n de contrase√Īas para crear c√≥digos √ļnicos para cada uno de los servicios que usa.

2) Activar la verificación en dos pasos (generalmente vía mensajes de texto) en su correo electrónico y redes sociales.

El √ļltimo es especialmente importante porque una vez que los hackers descubren una contrase√Īa de cualquier tipo la usan para probar suerte en otros servicios con el fin de hacerse con la mayor cantidad de informaci√≥n posible. De verdad me gustar√≠a que los medios de comunicaci√≥n dejaran de extender la idea de que, por el hecho de que las amenazas de alto nivel sean cada vez mas sofisticadas, no es posible protegernos en la mayor parte de escenarios.

Advertisement

Adam J. O’Donnell, ingeniero en el Grupo Avanzado de Protección contra Malware de Cisco, amplia las afirmaciones de Statmos:

Mi consejo para el ciudadano medio: Haz buenas copias de seguridad y ponlas a prueba a menudo. Usa un sistema de gesti√≥n de contrase√Īas y una contrase√Īa diferente para cada servicio.

Efectivamente, tener una buena contrase√Īa es f√°cil y sigue siendo la mejor protecci√≥n que puedes tener.

Advertisement

2.-El hecho de que un dispositivo sea nuevo no significa que sea seguro

Cuando abres la caja de tu nuevo smartphone, tableta o PC huele a plástico nuevo y las baterías funcionan de maravilla, pero eso no quiere decir que el equipo no esté ya infectado con malware o lleno de vulnerabilidades.

Advertisement

Este consejo lo he o√≠do de muchos consultores de seguridad a los que he entrevistado. Eleanor Saitta es la directora t√©cnica del Instituto Internacional Modern Media, y lleva una d√©cada asesorando a gobiernos y corporaciones sobre seguridad inform√°tica. Saitta cree que uno de los mitos m√°s perniciosos sobre seguridad es que los dispositivos comienzan su vida √ļtil completamente seguros pero van mostrando fallos con el tiempo. Simplemente no es cierto. Algunos dispositivos hasta vienen con malware instalado de serie como el famoso Superfish que ven√≠a en tantos equipos Lenovo.

Esa es la razón por la que Superfish fue un caso tan sonado. Hicieron una puerta de atrás, pero la hicieron con tanta incompetencia que cualquiera con conocimientos podía utilizarla.

Cuando conf√≠as en un c√≥digo escrito por otra persona o un servicio online sobre el que no tienes control hay posibilidades de que no act√ļen completamente en beneficio nuestro sencillamente porque su objetivo es vendernos cosas. Hay muchas posibilidades de que el sistema en cuesti√≥n ya est√© comprometido o pertenezca a otra persona. No hay una buena manera de gestionar la confianza para ello ahora mismo, y es probable que haya muchas personas usando ya ese c√≥digo.

Advertisement

El otro problema, que apareci√≥ a comienzos de este a√Īo con el ataque FREAK, es que muchas m√°quinas vienen con puertas traseras preinstaladas. Estas puertas se instalan a petici√≥n del propio gobierno para que las agencias de inteligencia tengan m√°s f√°cil hacer seguimiento a ciertos objetivos. El problema es que, una vez se conocen, estas puertas traseras pueden ser usadas por cualquiera. Saitta explica:

Es fundamental que entendamos que si se construye un sistema de monitorización en una red móvil o en un sistema de cifrado, cualquiera puede usarlo. Es una vulnerabilidad en el sistema y, por mucho que se intente controlar, una puerta trasera es una puerta trasera. Cualquiera puede entrar por ella si sabe cómo hacerlo.

3.- Hasta el mejor software tiene fallos de seguridad

Advertisement

Muchos imaginan que si el software es lo bastante bueno, es completamente seguro. Debido a esta actitud, muchos usuarios se enfadan cuando las m√°quinas o software que usan resultan ser vulnerables a un ataque. Despu√©s de todo, si somos capaces de dise√Īar un coche seguro, ¬Ņpor qu√© no vamos a poder dise√Īar un software seguro? Al fin y al cabo solo es cuesti√≥n de tener la tecnolog√≠a adecuada ¬Ņno?

Parisa Tabriz nos explicaba vía email que este concepto es totalmente erróneo. Tabriz es la ingeniera al frente del equipo de seguridad de Chrome, y cree que la información sobre seguridad se parece un poco a la medicina (un poco entre el arte y la ciencia) que a las ciencias puras. La razón es que la tecnología la fabrican seres humanos con motivaciones muy poco científicas. Esto es lo que dice:

Creo que la informaci√≥n sobre seguridad inform√°tica es en muchos sentidos parecido a la Medicina: es al mismo tiempo un arte y una ciencia. Es posible que sea porque los humanos han construido y dise√Īado, de manera expl√≠cita y desde cero, cosas como la seguridad e internet. Asumimos que deber√≠amos ser capaces de hacerlos a la perfecci√≥n, pero la complejidad de ello nos supera y ahora esa tarea parece casi imposible. Hacerlo seguro implicar√≠a que no existiese ning√ļn bug, algo imposible

Siempre habrá bugs en el software. Siempre. Algunos de ellos tendrá un impacto en la seguridad de muchos. El reto es darse cuenta de cuáles merece la pena arreglar y a cuáles merece la pena dedicar recursos. Mucha de esa especulación se basa en modelos básicos de amenazas que se beneficiarían enormemente si se fijasen más en las motivaciones humanas, como el crimen, la monitorización etc.

Advertisement

La investigadora en seguridad inform√°tica de RAND Corporation, Lillian Ablon, me escribi√≥ tambi√©n por email para ratificar lo mismo: no hay ning√ļn sistema 100% seguro. El objetivo de los que se encargan de protegerlo es hacer que el ataque resulte muy caro de realizar, no imposible:

Con suficientes recursos, siempre suele haber una manera para el atacante de romper la seguridad. Es posible que te suene la frase ‚Äúes una cuesti√≥n de cuando, no de si‚ÄĚ en relaci√≥n a este problema. En su lugar, el objetivo de la seguridad inform√°tica es elevar los costes para los atacantes (en cuestiones como el tiempo, los recursos, la investigaci√≥n... etc).

4.- Cada página web debería usar HTTPS

Advertisement

Es muy probable que hayas o√≠do pr√°cticamente todo rumor habido y por haber sobre HTTPS. Que si es solamente para p√°ginas que deben ser ultra seguras, que si no funciona realmente... todas son incorrectas. Peter Eckersley, de la Electronic Frontier Foundation, es un tecnol√≥go que ha estado investigando el uso de HTTPS desde hace varios a√Īos y trabajando con el proyecto de la Electronic Frontier Foundation llamado HTTPS Everywhere. Afirma que hay un error de concepto muy peligrosos en el que la gente cree que la mayor√≠a de webs y apps simplemente no necesitan HTTPS. As√≠ lo explica:

Otro serio error es algunos propietarios de p√°ginas webs relevantes, como peri√≥dicos o redes de publicidad, penando que ‚Äúcomo no procesamos ning√ļn pago online, nuestro sitio no necesita HTTPS‚ÄĚ. Toda p√°gina en la web deber√≠a ser HTTPS, porque sin √©l es f√°cil para haceros, curiosos o herramientas de protecci√≥n del gobierno ver exactamente c√≥mo la gente reacciona en el sitio, qu√© datos procesa tu aplicaci√≥n o incluso alterar esos datos de manera maliciosa.

Eckersley no est√° afiliado a ninguna compa√Ī√≠a ni tiene ning√ļn inter√©s comercial (la EFF es una organizaci√≥n sin √°nimo de lucro), y por tanto ning√ļn conflicto de inter√©s cuando se trata de promover el uso de HTTPS.

Advertisement

5.- La nube no es (100%) segura, de hecho sólo propicia nuevos problemas de seguridad

Una gran mayor√≠a de datos est√° en la nube en la actualidad. Ah√≠ tienes tu correo, tus fotos, us mensajes instant√°neos, tus documentos m√©dicos, tus datos del banco e incluso tu vida sexual. Y de hecho est√° ah√≠ m√°s segura de lo que cabr√≠a esperar. Al mismo tiempo, y sin embargo, crea nuevos problemas de seguridad que obviamente hay que tener en cuenta. La ingeniera de seguridad Leigh Honeywell trabaja para una gran compa√Ī√≠a de cloud computing, y explica c√≥mo funciona la seguridad en la nube:

Tu casa es tu casa y normalmente, sabes exactamente el tipo de precauciones que debes tomar para protegerla contra intruso y adem√°s qu√© es lo que ganas y lo que pierdes para cada una de ellas. ¬ŅValla electrificada? ¬ŅUn sistema de alarma? ¬ŅBarrotes en la ventana? ¬ŅO preferiste evitarlos porque afeaban la imagen de la casa?

¬ŅVives en un sitio con portero? Yo llegu√© a vivir en un sitio donde hac√≠a falta una tarjeta de seguridad para ir a cada piso concreto: Era m√°s enojoso y cansado, s√≠, pero tambi√©n m√°s seguro. El guardia de seguridad se aprend√≠a los patrones de movimiento de los inquilinos y as√≠ puede reconocer intrusos potenciales. Tiene m√°s informaci√≥n que el propietario individual.

Advertisement

Poner tus archivos en la nube es parecido a vivir en uno de esos apartamentos. Sólo que más raro. Honeywell amplía:

Los servicios en la nube son capaces de correlacionar datos de sus clientes para deducir patrones que sean peligrosos para su seguridad. Puede que no tengas 100% acceso al lugar donde tus datos se est√°n almacenando, pero hay alguien, un ‚Äúportero‚ÄĚ, en ese edificio virtual 24 horas 7 d√≠as a la semana y ese alguien ve los patrones y los logs del sistema. Es algo as√≠ como una protecci√≥n derivada de ser una manada. Hay muchos que autom√°ticamente lo hacen saltar: una √ļnica direcci√≥n IP accediendo a varias cuentas a al vez en varios pa√≠ses distintos donde nunca antes se ha accedido a esa cuenta. O que algunas de esas cuentas compartan un mismo tipo de archivo, indicando que puede ser malicioso.

Si es un ataque más dirigido, los signos serán más sutiles. Ahí es prácticamente como buscar una aguja en un pajar, porque tienes que manejar muchos más datos. Hay mucho entusiasmo con el big data y el comportamiento de aprendizaje de las máquinas pero la verdad es que apenas estamos rascando la superficie ahora mismo. Un atacante con habilidad puede aprender a moverse de manera sigilosa y sin provocar que salten los sistemas de detección .

Advertisement

En otras palabras, algunos métodos de ataque automatizados hacen saltar las alarmas casi al instante. Pero también es sencillo esconderse. Honeywell aclara que los usuarios necesitan considerar cada clase de amenaza cuando elijan un servicio en la nube o uno local.

Los servicios en la nube son mucho m√°s complejos que, digamos, un disco duro conectado a tu ordenador, o un servidor de email ejecut√°ndose en tu casa. Hay muchos m√°s lugares donde las cosas pueden salir mal, m√°s partes m√≥viles. Al mismo tiempo, tambi√©n hay m√°s gente encargada de que nada de eso ocurra. Lo que la gente deber√≠a preguntarse es: ¬Ņes mejor que yo mismo me encargue de esto o deber√≠a dejar que gente con m√°s tiempo, dinero y conocimientos se encargue? ¬ŅEn qui√©n pienso cuando me viene a la mente un ataque inform√°tico: la NSA, un gamer irritado o una ex-pareja? Yo aloj√© mi propio servidor de email durante a√Īos, hasta que finalmente lo mov√≠ a uno dedicado. Conozco a gente que trabaja en Gmail y Outlook.com y hacen un mejor trabajo manejando ese tipo de asuntos del que yo habr√≠a hecho jam√°s. Es tambi√©n una inversi√≥n de tiempo, porque administrar uno es un jaleo constante. Para algunos, sin embargo, merece la pena, porque les preocupa que la NSA meta sus narices.

6.- Las actualizaciones de software son vitales

Advertisement

Hay pocas cosas m√°s irritantes en esta vida que un popup recordando que tienes actualizaciones pendientes. A menudo tienes que enchufar el aparato a la corriente y en ocasiones pueden llevar un largo tiempo. Pero a la vez son lo √ļnico que se interpone entre t√ļ y el malo de la peli. O‚ÄôDonell lo explica as√≠:

Los mensajes de actualizaci√≥n no est√°n ah√≠ exclusivamente para irritarte: la frecuencia con la que hace falta actualizar no depende tanto de las nuevas caracter√≠sticas sino m√°s bien por fallos que alg√ļn atacante ha conseguido explotar. Estas actualizaciones lo identifican y lo arreglan. Lo m√°s probable es que si tienes una herida en el brazo infectada no pases d√≠as sin tratarla. Aqu√≠ es lo mismo.

7.- Los hackers no son criminales

A pesar de que décadas de historia indican lo contrario, los hackers no son lo que la mayoría de la gente piensa: adversarios con nada más que hace que robar sus preciados bienes digitales. La cuestión es que los hackers pueden llevar tanto un amable sombrero blanco como otro negro. Los que lo tienen blanco entran en sistemas antes que los del sombrero negro para parchar el problema. Tabriz lo amplía así:

Los hackers no son criminales. S√≥lo porque alguien sepa como vulnerar algo no significa que utilizar√° ese conocimiento para hacer da√Īo a los dem√°s. La mayor√≠a hacen de hecho que las cosas sean mejores.

Advertisement

O’Donnell a su vez enfatiza que los hackers son necesarios porque el software sin más no puede protegernos al completo. Sí, los antivirus son un buen comienzo. Pero al final necesitas a expertos de seguridad como los hackers para defenderte contra adversarios que son, después de todo, seres humanos:

La seguridad no gira en realidad tanto en torno a construir muros de protección como en habilitar guardianes válidos para vigilar el paso. Las herramientas de defensa por sí mismas no pueden parar a un atacante con los suficiente recursos. Si alguien quiere entrar a toda cosa, comprarán toda herramienta de seguridad que les permita hacerlo y la probarán contra tí. Combatir eso requiere no solo buenas herramientas sino también buenas personas detrás de ellas.

Ablon, de RAND, a√Īade que los hackers maliciosos raramente suponen la amenaza que la gente les atribuye. La mayor√≠a de ataques, en realidad, vienen de gente que no te esperas y sus motivaciones suelen ser m√°s complicadas que √ļnicamente el hurto:

En muchas ocasiones un empleado supone una amenaza igual de grande en términos de seguridad, y puede hacer que esta vaya al traste de manera involuntaria. Al mismo, hay distinto tipos de ciberamenazas (cibercriminales, el estado, hacktivistas) con diferentes motivaciones y posibilidades. Por ejemplo, los cibercriminales que vulneraron Target y Anthem tenían un trasfondo completamente distinto a, por ejemplo, los gubernamentales que trajeron de cabeza a Sony Pictures.

Advertisement

8.- El ciberataque y el ciberterrorismo no son tan frecuentes

Como han dicho los expertos en seguridad, tu mayor amenaza es que alguien entre en tus cuentas por culpa de una contrase√Īa mal dise√Īada. Con todo, eso no impide que la gente se aterrorice por alg√ļn tipo de ‚Äúciberataque‚ÄĚ criminal a m√°s escala:

S√≠, hay maneras de vulnerar un veh√≠culo desde cualquier parte del mundo. S√≠, los instrumentos de los hospitales como los marcapasos pueden controlarse remotamente y las bombas de insulina tienen direcciones IP o est√°n disponibles v√≠a Bluetooth. Pero a menudo al mayor√≠a de ataques requieren un acceso por proximidad, y los exploits que son lo suficientemente √ļtil requieren una buena cantidad de tiempo para desarrollarse e implementarse. Dicho eso, no deber√≠amos ignorar que millones de dispositivos conectados (el Internet de las Cosas) puede ampliar el n√ļmero de cosas sobre las que se puede atacar.

Advertisement

Básicamente, mucha gente tiene miedo de los ciberataques por el mismo motivo por el que tiene miedo de los asesinos en serie. Son la opción más aterradora, sí, pero también la menos plausible.

En cuanto al ciberterrorismo, Ablon aclara que a día de hoy no existe, lo que se atribuye al ciberterrorismo normalente pertenece a hacktivismo, conseguir acceder a la cuenta de Twitter de CENTCOM etc.

Advertisement

9.- Darknet y la Deepweb no son la misma cosa

Ablon explica adem√°s que uno de los principales problemas en c√≥mo los medios tratan el cibercrimen es no utilizar correctamente los t√©rminos ‚ÄúDarknet‚ÄĚ y ‚ÄúDeepweb‚ÄĚ

La Deepweb se refiere a esa parte de Internet, dentro de la World Wide Web (as√≠ que tiene que empezar con www.) que no se indexa por los motores de b√ļsqueda y por lo tanto es invisible para Google. Darknet se refiere a redes que no est√°n en la World Wide Web, y los usuarios necesitan un software especial para entrara, como es Tor. Por ejemplo, Silk Road y varios mercados il√≠citos m√°s operaban en la Darknet con redes como I2P y Tor.

Advertisement

En conclusi√≥n: utiliza un gestor de contrase√Īas, utiliza la autenticaci√≥n en dos pasos, visita s√≥lo sitios que utilicen HTTPS y deja de preocuparte por ataques criminales ultra enrevesados. Por √ļltimo, recuerda: los hackers est√°n ah√≠ para protegerte, al menos la mayor√≠a de las veces.

Click here to view this kinja-labs.com embed.

Advertisement

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)