Llegamos a ustedes gracias a:



Reportajes y análisis

Cambio de seguridad en 60 minutos: Evite su propio 'hack épico'

¿Tiene una hora? Estas son algunas formas de asegurar mejor su vida digital.

[05/09/2012] ¿Cómo sería una pesadilla digital? Su cuenta de Twitter secuestrada; Tweets racistas y homofóbicos publicados en su nombre; su cuenta de Apple violada; los datos borrados de su iPhone, iPad y portátil; Su contraseña de Gmail reseteada y su cuenta de Google eliminada.
Eso es lo que le pasó recientemente al periodista de Wired, Mat Honan. Y mientras las noticias sobre su hack épico podrían estar amainando, puede apostar que hay un ejército de aspirantes a imitadores que, mientras lee esto, están tratando de duplicar ese ataque.
Honan fue un poco descuidado (especialmente al no tener copias de seguridad de sus datos borrados), pero también tuvo muy mala suerte. Sin embargo, ahora que la noticia del ataque ha sido ampliamente difundida, sería prudente tratar de protegerse de estas ahora conocidas vulnerabilidades.
¿La buena noticia? No lleva mucho tiempo. Y aunque no se puede crear una defensa impenetrable en una hora, se pueden implementar algunas estrategias para reforzar sus propias cuentas.
Problema: El uso de direcciones públicas de correo electrónico para acceder a una cuenta y recuperar contraseñas.
Amenaza: Es difícil de creer que los atacantes solo necesitaran la dirección de correo electrónico de Honan para poner en marcha el proceso del secuestro de su Twitter y sus cuentas de Apple. Pero los atacantes, efectivamente, comenzaron con tan solo la dirección de Gmail y la dirección de facturación de Honan (disponible en muchos registros públicos) para aprovecharse de las laxas medidas de seguridad de Amazon y Apple, para así acceder a sus cuentas.
 
Defensa: No utilice una dirección de correo electrónico públicamente conocida como información de restablecimiento de contacto. En su lugar, utilice una o más direcciones separadas que se reservan únicamente para este uso y no para cualquier otro tipo de comunicación. Esto hace que para alguien que conozca su dirección de correo electrónico personal o empresarial, le sea más difícil de utilizar esa información para acceder a otras cuentas.
Su ISP probablemente le permite añadir cuentas de correo electrónico adicionales. Como alternativa, puede utilizar un servicio de correo electrónico de su confianza para crear una nueva cuenta, o puede registrar su propio dominio y agregar una dirección de correo electrónico difícil de adivinar (que no se debe utilizar como dirección de contacto para ese dominio).
¿Muy consciente de la seguridad? Establezca direcciones de correo electrónico para que tenga una diferente por cuenta, o tenga varias direcciones que llegan a una sola bandeja. De esta manera, incluso si una cuenta es violada, no va a ayudar a que nadie gane acceso a otra sabiendo la dirección de correo electrónico que utiliza allí.
Bonus: La gente que trolea por información acerca de usted tendrá menos éxito en general.
 
Tiempo: La creación de una nueva dirección en su ISP o dominio: tres a cinco minutos. La creación de múltiples transportistas a esa dirección: otros tres a cinco minutos. Cambio de nombre de usuario/contacto/dirección de correo electrónico para restablecimiento de contraseña: uno a dos minutos por cada cuenta. Sugerencia: es posible que se sienta menos oneroso si cambia las direcciones de contacto la próxima vez que inicie sesión en cada una de sus cuentas, en lugar de sentarse a hacer todos a la vez.
Problema: tener múltiples direcciones de correo electrónico con el mismo nombre de usuario
Amenazas: El uso del mismo prefijo -mhonan@gmail.com y mhonan@me.com- fue un factor que llevó a que los piratas informáticos descubrieran la Apple ID de Honan. (Me.com es un servicio de Apple). Debido a que sabían su dirección de Gmail, fueron capaces de ver una dirección parcialmente a oscuras de Me.com en la página de restablecimiento de contraseña de Google y adivinaron el resto.
Defensa: Es fácil variar su nombre de usuario en los correos electrónicos en los dominios que van hacia adelante; lo que hace que sea menos probable que alguien pueda utilizar la ingeniería social para restablecer la contraseña de su cuenta. Sin embargo, puede ser difícil cambiar el nombre de usuario de correo electrónico en las direcciones que ya utiliza.
Tiempo: Cinco a diez minutos para cambiar una dirección existente que no utiliza mucho, pero significativamente más si tiene que notificar (y quizás recordar) a las personas que conocen su antigua dirección. Es mejor seguir esta regla para la configuración de la dirección privada en el paso anterior.
Problema: El uso de la laxa autenticación Google
Amenaza: Los hackers vieron la información parcial de la dirección de Honan en Me.com al ingresar su cuenta de Gmail en la página de Google para restablecer la contraseña, porque no se había cambiando a la verificación de dos pasos. También fueron capaces de restablecer su contraseña de Google, tras piratear su cuenta de Apple, porque el acceso a su dirección Me.com era la única cosa que necesitaba para cambiar su contraseña de Google.
Defensa: Encienda la verificación de dos pasos de Google, lo cual requiere introducir un código adicional enviado a su teléfono móvil antes de que pueda cambiar la contraseña -o incluso para iniciar sesión desde un nuevo dispositivo o navegador. Además, cualquiera que esté troleando en busca de información, no será capaz de ver ninguna parte de su dirección alternativa de correo electrónico. Además, un Hack a su dirección alternativa no sería suficiente para cambiar su contraseña de Google y tomar el control de su cuenta. Este tipo de autenticación de dos factores hace que su cuenta esté segura ante otro tipo de ataques, así como le da una contraseña comprometida.
Si bien tener que introducir un código adicional enviado a su teléfono móvil puede parecer oneroso, es mucho menos que la molestia de ser hackeado.
Para habilitar la verificación de dos pasos, vaya al menú desplegable de arriba a la derecha debajo de su dirección de correo electrónico para obtener los ajustes de la cuenta, a continuación, seleccione Seguridad en el menú de la izquierda y haga clic en el botón Editar situado junto a verificación de 2 pasos. Google ofrece más información sobre la verificación de dos pasos aquí.
La verificación de dos pasos de Google requiere que introduzca un código adicional enviado a su teléfono móvil antes de que pueda cambiar la contraseña, o incluso para iniciar sesión desde un nuevo dispositivo o navegador.
La verificación de dos pasos de Google requiere que se introduzca un código especial enviado a su teléfono móvil antes de poder acceder a su cuenta desde un dispositivo nuevo o cambiar la contraseña de la cuenta.
Tiempo: Habilitar la autenticación de dos factores desde su navegador: de dos a tres minutos. Ingresar utilizando nueva autenticación con otros navegadores, dispositivos y aplicaciones móviles: uno a dos minutos por cada uno. Tendrá que hacer esto una vez cada 30 días en cada navegador de escritorio/laptop que utiliza con su cuenta de Google.
Problema: Almacenamiento de tarjetas de crédito en los minoristas en línea
Amenaza: Parece bastante inofensivo guardar sus tarjetas de crédito en un sitio donde así alguien irrumpa en su cuenta, solo verá los últimos cuatro números. Pero resultó que los cuatro últimos dígitos de la tarjeta de crédito almacenada en la cuenta de Amazon de Honan, fue la última pieza de identificación que necesitaron los hackers para romper su cuenta de Apple. Aunque parece que Apple ha suspendido esta política y Amazon también ha cambiado sus políticas de seguridad de tarjetas de crédito, así, los últimos cuatro dígitos de la tarjeta de crédito son, probablemente, una pieza clave de identificación para otros destinos en línea.
Defensa: No guarde las tarjetas de crédito en ningún lugar que no deba, incluso si le toma tiempo escribir el número por cada compra.
Tiempo: La eliminación de las tarjetas ya almacenadas: dos a tres minutos por cada cuenta.
Problema: Vincular sus cuentas en línea
Amenaza: Siempre que tenga cuentas que están unidas entre sí, una violación en una pone a las otras en peligro. Por ejemplo, si utiliza Facebook, Twitter o su dirección de Gmail para acceder a otros lugares, un hacker que se meta en una cuenta puede ser capaz de usarla para llegar a los demás.
Defensa: Tenga cuidado acerca de lo que Honan ha llamado "encadenar" sus cuentas -configurarlas para que al acceder a una ingrese a todas. Y si está utilizando una cuenta para acceder a las demás, asegúrese de que esa cuenta tenga su propia dirección de correo y una contraseña segura. Esto no es una protección completa, al igual que asegurar su carro no necesariamente impide que se roben las cosas que hay dentro; pero podrá enviar a los ladrones menos calificados o impacientes hacia otros lugares.
Tiempo: Cambiar nombres de usuario y contraseñas por cada cuenta demora entre dos y tres minutos, pero podría tomar más tiempo para actualizar aplicaciones adicionales que dependen de dichas entradas.
Problema: El uso de contraseñas débiles -o reutilizarlas entre las cuentas
Amenaza: Si bien esto no fue un problema en el ataque a Honan, sigue siendo un problema importante a medida que las contraseñas siguen siendo filtradas -tales como la publicación de 450 mil contraseñas de Yahoo que estaban almacenadas en texto sin formato. Una vez que se filtren los correos electrónicos/contraseñas, es probable que los hackers maliciosos prueben en otro lugar.
Defensa: Ya lo hemos oído antes, pero muchos de nosotros todavía no seguimos las mejores prácticas al crear nuestras contraseñas. ¿Por qué? recordar múltiples contraseñas seguras es algo difícil, y también molesto tener que escribirlas -especialmente en dispositivos móviles con pequeños teclados en la pantalla.
Hay varias estrategias para crear contraseñas difíciles -los que pueda recordar, pero que no sean fáciles de adivinar por un ser humano (lo que significa que no deberá utilizar datos fáciles de aprender acerca de si mismo, o password123). Por ejemplo, un método es utilizar las letras iniciales de una frase larga con números y signos de puntuación incluidos, como QiagcNNpmcplñosN40, que uno podría recordar como "Quiero ir al Gran Cañón para mi cumpleaños número 40".
Sin embargo, a menos que también haya conseguido un sistema para atar una secuencia específica a un determinado sitio, esto probablemente sea difícil de manejar para algunas contraseñas.
Para muchos sitios, puede ser útil usar un gestor de contraseñas multiplataforma que puede generar, recordar y llenar sus contraseñas complejas. Solo asegúrese de crear una contraseña maestra muy segura, y nunca la escriba o almacene sin cifrar.
Tiempo: Descargar, instalar y configurar un gestor de contraseñas: 15 a 20 minutos. Actualización de las contraseñas existentes: uno a dos minutos por sitio -algo más que deseará cada vez que visite cada sitio donde tenga una cuenta, en lugar de todas a la vez.
Problema: Almacenamiento de datos sensibles en su dispositivo móvil
Amenaza: Los hackers no pueden esperar a estar alrededor de usted si su teléfono se le cae del bolsillo, pero el dispositivo móvil puede ser incluso más valioso que su cartera para un ladrón, y más vulnerables a la pérdida. Imagine lo que un hacker malicioso podría ver con el acceso a todas sus aplicaciones y cuentas de correo.
Defensa: Si el dispositivo móvil sale de su casa y puede acceder a su correo electrónico, redes sociales, compras y cuentas financieras, tiene que tener un PIN o una contraseña protegida. Si bien es posible que no quiera tener que escribir la cadena compleja de números, letras mayúsculas, minúsculas y signos de puntuación que utilizan para las cuentas financieras, querrá más seguridad que una simple pantalla si alguien encuentra su dispositivo.
Dependiendo de su sistema operativo móvil y el software de administración, es posible que también pueda contar con datos cifrados. En iOS, algunos datos se cifran una vez que se emite un código de acceso, Android 4.0 añadirá una contraseña de cifrado si la activa. Como alternativa, puede configurar el dispositivo para que limpie los datos automáticamente después de un número máximo de intentos fallidos.
Tiempo: La configuración de una contraseña o PIN en el dispositivo: dos a tres minutos. El ingreso de la contraseña cuando desea utilizar el dispositivo: menos de un minuto.
Conclusión
¿Es posible que su dirección de correo electrónico, redes sociales y otras cuentas en línea sean 100% a prueba de hackers? Probablemente no. Pero si tiene una hora de su tiempo para invertir, puede apuntalar sus defensas para que sea un blanco más difícil.
Sharon Machlis, Computerworld (EE.UU.)