Llegamos a ustedes gracias a:



Reportajes y análisis

La guía moderna para permanecer seguro en línea

[05/06/2017] La Internet puede ser un lugar aterrador. Las amenazas vienen en muchas formas, al acecho en cada rincón. Peor aún, el consejo dominante de ayer para mantenerse seguro en línea -evitar sitios web desagradables, no traficar artículos robados o ilegales, interactuar solamente con gente que conoce- ya no se mantiene. Los correos electrónicos fraudulentos de supuestos miembros de la familia, el spyware que se apoya en aplicaciones legítimas, sitios web conocidos secuestrados con códigos maliciosos -la seguridad digital evidentemente necesita nuevas reglas que se adapten y luchen contra el entorno amenazante actual.

Considerando qué tanto de nuestras vidas digitales ocurren en línea -comunicaciones, transacciones financieras, entretenimiento, trabajo, educación, etc. - la adopción de algunas prácticas de navegación segura pueden traer muchos beneficios. Esto incluye la manera en la que lidiamos con los mensajes de correo electrónico, así como qué tan popular es el correo electrónico como un mecanismo de entrega para ataques en línea usando malware y exploit kits.

Acá le proporcionamos una guía estratégica para mantenerse segura en línea, haciendo un resumen de lo que puede hacer para proteger sus datos y su privacidad en la web, manteniéndose productivo.

Comprenda su perfil de amenaza

Con tantas amenazas rondando, se vuelve tentador optar por el enfoque más estricto bloqueando absolutamente todo. Sin embargo, el reto es aprender a balancear las precauciones para que pueda mantenerse productivo. Por ejemplo, para evitar JavaScript malicioso, podría desactivar la opción de JavaScript en las preferencias de su buscador -pero la mitad de la Internet será imposible de usar. ¿Ha probado usar Gmail sin JavaScript activado? No es agradable.

Todos usamos la web de manera diferente, por lo que nuestros riesgos varían drásticamente dependiendo del lugar en el que esté, qué está haciendo e, incluso, qué día es. La forma en la que los investigadores de seguridad se mantienen seguros en línea, es muy diferente de la manera en la que un consumidor que manda correos electrónicos, usa Facebook y ve Netflix, lo hace. Todo eso, a su vez, es diferente de la manera en la que un desarrollador que descarga nuevas herramientas y frecuenta los foros de asesoramiento se mantienen seguros.

En el nivel básico, debería actualizar todas sus aplicaciones de manera regular -no solo el sistema operativo, sino cada aplicación, especialmente su navegador web. Asimismo, debería cambiar sus preferencias del navegador a click-to-play para Flash, si es que este no lo ha hecho de manera proactiva por usted. También, debería desactivar ActiveX y desinstalar el Java client de su máquina. A menos que esté utilizando aplicaciones cliente hambrientas de Java, tales como juegos o ciertas ofertas educativas, probablemente no necesitará Java nunca más. Incluso las principales aplicaciones de videoconferencia están avanzando hacia el HTML5 puro.

También debería considerar la combinación de lugar y actividad. Por ejemplo, realizar transacciones confidenciales en redes inalámbricas públicas puede meterlo en problemas. El Wi-Fi público en su café favorito no es lugar para la banca en línea. Ni siquiera si está usando una conexión SSL, porque puede ocurrir un ataque man-in-the-middle y traspasarla.

Una vez que haya entendido lo básico, deberá considerar qué peligros son los que le preocupan más, qué activos quiere proteger, con quienes interactúa de manera regular y dónde almacena sus datos. En las siguientes secciones explicaremos a detalle estas preocupaciones, para ayudarle a combinar sus prácticas de navegación seguras con su tolerancia a amenazas -el nivel de amenaza con el que está dispuesto a vivir en línea.

Amenaza nivel 1: Nada de malware, por favor

La mayoría, especialmente los negocios, quieren evitar el malware a como dé lugar. Dos de los vectores más comunes son links que descargan malware y drive-by-downloads, en los que el malware es descargado de manera automática solo por cargar la página web. Los links peligrosos pueden ser encontrados en páginas web, en correos electrónicos o en IM. Los scammers utilizan, a menudo, redes sociales y URL recortados para esparcir disfrazados los links maliciosos con la esperanza de que alguien les dé clic.

Primera acción: Deje de hacerle clic a los links. Esto requiere de entrenamiento y puede ser difícil adecuarse a ello, especialmente tomando en cuenta todos los links que nos mandan con fines tanto personales como profesionales. Pídale a la gente con la que se comunica de manera regular que le mande una notificación heads-up si es que planean mandar un link -y para mandar el link solo después de haber recibido la confirmación positiva; o pídale a la gente que confirme que realmente ha mandado el link usando un canal diferente. Por ejemplo, mándele un mensaje de texto a su hermano para preguntarle si el link que le mandó desde su cuenta es realmente de él. Esto puede sonar un poco paranoico, pero el reciente fraude realizado en nombre de Google Docs tuvo éxito porque la gente pensó que el archivo malicioso era de alguien en quien confiaban. Siempre escriba sus propios links, y si alguien le manda uno a algo que se ve como una interesante hoja en blanco, vaya directamente a las fuentes y busque la página en blanco en el sitio web usted mismo.

Consejo profesional: Configure su navegador para que le pregunte dónde es que el documento debería ser guardado, así estará consciente cuando algo se esté descargando. Las drive-by-downloads se basan en el sigilo para que, de esta manera, los usuarios no se den cuenta qué está pasando. Configure su software de seguridad para escanear todos los archivos como si estuvieran descargados.

Amenaza nivel 2: No me gusta el spyware

Un atacante que llega a comprometer su navegador puede descubrir toda clase de información. Aquí, los complementos del navegador no son necesariamente sus amigos. Utilícelos con moderación, ya que pueden convertirse en un mecanismo que de imprevisto entrega malware. Revise su lista de extensiones de manera periódica (chrome://extensions in Chrome, about:addons in Firefox) para ver si hay algo desconocido o inexplicable. Rara vez puede salir mal si deshabilita algo que parece sospechoso. También tenga en cuenta las páginas web que pretenden engañarlo para que instale extensiones del navegador - por ejemplo, "dele clic a 'añadir' para acelerar esta página web" o algún otro indicador engañoso.

Primera acción: Sea más cauteloso con los complementos del navegador creados por individuos, ya que pueden acceder a sitios sin HTTPS. Incluso hay problemas con los profesionales: LastPass, creador del administrador de contraseñas ampliamente usado, ha tenido que arreglar un gran número de serias vulnerabilidades recientemente en su extensión del navegador. Pregúntese si la comodidad y conveniencia proporcionada por una extensión, supera el riesgo potencial; especialmente si es algo que puede encontrar que realmente no vale la pena en un mes.

Consejo de profesionales: Siempre considere la fuente. Si necesita descargar Flash o Adobe Reader, consígalos en el sitio web de Adobe. No descargue herramientas como éstas de páginas web no afiliadas, porque es muy fácil para el spyware, adware y otros archivos maliciosos inmiscuirme en la descarga. No busque "conversor de PDF gratuito" y baje lo primero que sale. (¿Realmente necesita uno? Chrome convierte automáticamente las páginas a PDF, y Office tiene un buen soporte de PDF). Proyectos como PortableApps.com y Ninite brindan maneras convenientes de obtener y actualizar, de manera automática, aplicaciones de código abierto y de libre uso de fuentes de confianza.

Amenaza nivel 3: No monitorear en cualquier momento

A todos nos ha pasado que luego de buscar baldosas de piso en alguna tienda especializada, anuncios de mejoras para el hogar aparecen por todos lados en Internet. Los anunciantes utilizan las cookies para seguirlo en línea y publican anuncios con base en su actividad. Pero todo esto no es solo para hacer publicidad. Las páginas web utilizan cookies para recordar sus cuentas, contraseñas, historial de navegación y para monitorear su actividad en su sitio web. Cuando deshabilita y elimina las cookies lo que hace es reducir los datos personales que los cibercriminales pueden obtener.

Primera acción: Utilice la navegación privada o el modo incógnito cuando esté en línea. Aquí, las cookies y el historial de navegación no se conservan cuando termina su sesión. Puede activar el modo incógnito, pegarlo en un URL (que no está seguro si va o no a dar malware) y navegar en la página totalmente seguro de que no está siendo monitoreado. Si quiere estar de incógnito todo el tiempo en Chrome, añada "incógnito al final del comando de destino en las propiedades de Chrome, y estará en modo incógnito cada vez que inicie Chrome. Puede hacer lo mismo para Firefox vía about:config.

Consejo profesional: Si quiere usar Facebook, Twitter u otras cuentas de redes sociales, pero no quiere que ese inicio de sesión lo persiga persistentemente, cree un perfil de usuario independiente en Chrome, Firefox o Safari, uno reservado exclusivamente para esa red social. Inicie sesión ahí y solo ahí, y úselo ahí y solo ahí. Esto limita la cantidad de datos asociados con ese inicio de sesión solo a aquellas cosas en las que es absolutamente necesario. Esta técnica es útil, también, para minimizar el monitoreo de sitios que utilizan redes sociales como proveedores de inicio de sesión único, como Spotify.

Si le preocupa el seguimiento, debería habilitar Do Not Track en cada navegador utilizado. DNT no es obligatorio, simplemente les dice a las páginas web que usted ha pedido no ser rastreado, y depende de los sitios web que visita respetar esa solicitud. Muchos son poco escrupulosos y no hay garantía alguna de que la página que está visitando cumplirá con la solicitud, pero no pierde nada dejar sus preferencias claras por adelantado.

Amenaza nivel 4: Quite las manos de mi información

Las cookies son los principales objetivos de los cibercriminales por la información que contienen, especialmente aquellas con correos electrónicos, nombres de cuenta y contraseñas. Incluso cuando está oscurecida, esta información puede ser utilizada de manera nefasta. Los ataques de secuencia de comandos de sitios cruzados usan JavaScript en una página web para extraer los detalles de usuario y la información de la sesión de las cookies, y suplantarlas en línea. Asimismo, los ataques de falsificación de solicitudes cruzadas utilizan cookies para falsificar solicitudes para otros sitios web.

Primera acción: Bloquee las cookies cada vez que pueda. Si bien sería bueno bloquear tanto las cookies de origen como las de terceros, y desactivar las cookies de sesión hace que la navegación web básica, como correo electrónico y redes sociales, casi imposible. Debería, por lo menos, bloquear las cookies de terceros y debería considerar borrar el historial de su navegador de manera regular.

Tampoco deje que sus navegadores almacenen contraseñas. Es conveniente, pero es difícil garantizar la seguridad de las contraseñas almacenadas. Asimismo, une un administrador de contraseñas separado, tal como 1Password o KeePass.

Consejo profesional: Para búsquedas, use un motor de búsqueda seguro, tal como DuckDuckGo, que no almacena información transmitida de manera automática por la computadora, como su dirección IP y otras piezas de identidad digital. DuckDuckGo no puede auto completar las consultas de búsqueda basadas en búsquedas o ubicaciones anteriores, pero ese es un pequeño precio a pagar, dado que no puede vincular el historial de búsqueda con usted.

Si quiere mantener su información en privado y solo para usted, la navegación privada será su amiga. Si no se guardan las cookies, no hay nada que robar. Es una buena idea borrar todas las cookies después de cada sesión de navegación, pero tendrá que iniciar sesión en cada una de las páginas web con cada nueva sesión, porque nadie sabrá quién es. Este es otro caso de uso para establecer sesiones de usuario distintas, en las que usted crea inicios de sesión específicos y limita las cookies para el inicio de sesión de ese usuario, únicamente.

Aunque algunos complementos pueden ser peligrosos, hay otros que son buenos -por ejemplo, Disconnect, que bloquea las cookies de seguimiento de terceros. La extensión evita que las cuentas de redes sociales monitoreen el historial de búsqueda, y da a los usuarios la capacidad de controlar las secuencias de comando en el sitio web. Otra extensión que vale la pena tener es Ghostery, que bloquea las secuencias de comando de seguimiento comunes, pero le permite incluir los sitios web que dependen de ellos a su lista blanca, si es necesario.

Amenaza nivel 5: No me phishee

Los sitios de phishing son sitios web fraudulentos diseñados para robar información personal. Esto no se limita a las credenciales de inicio de sesión para los sitios de correo electrónico o de banca. Los sitios de phishing pueden hacerse pasar por concursos y pedirle su SSN. Los ataques de phishing también pueden redireccionar a las víctimas a un sitio falso donde el código malicioso es descargado y el malware recolecta información confidencial. Vemos ataques potenciales de phishing en todos lados, por lo que nuestra inclinación natural es no hacer clic en cualquier link.

Primera acción: No dé clic a los links recibidos por correo electrónico o en un documento adjunto, ni mucho menos llene los formularios que se le presentan en el camino con información confidencial. Ese formulario de reclamación de FedEx podría ser falso. Tome el teléfono y llame a FedEx para averiguar qué es lo que está pasando. No haga clic en el link de un correo electrónico que parece como si fuera de Recursos Humanos, que le advierte sobre su saldo de vacaciones. Lo que tiene que hacer es ir directamente a la página web de Recursos Humanos para ver qué es lo que anda mal. Escribir las URLs ayuda a descubrir los trucos tales como usar un 0 (cero) en vez de una O (la letra), o nn en vez de m, o el hecho de que la dirección es algo como paypal.com.someothersite.com. Escriba una URL de confianza del sitio web de una empresa en la barra de direcciones de su navegador para omitir links en un correo electrónico o mensajes instantáneos.

Consejo profesional: Brinde información personal solo en los sitios web que utilizan HTTPS. Recuerde que con Let's Encrypt y otras fuentes de certificados de SSL gratuitos, solo un ícono de candado ya no es suficiente. Busque un certificado de Validación Extendida -el nombre de la entidad debería aparecer en la barra del navegador. La extensión de HTTPS Everywhere de la Electronic Frontier Foundation es también una buena opción, ya que fuerza a los sitios web a poner el tráfico sobre el HTTPS.

Si recibe correos electrónicos de comerciantes -por ejemplo, para descuentos- mire si hay alguna opción para mandar correos electrónicos como texto en lugar de HTML. Esto hace que sea más sencillo ver cuál es el contenido de un link.

Es difícil detectar todos los intentos de phishing -y es que algunos son realmente buenos. Asegúrese de no usar la misma contraseña para todas sus cuentas, para que así la contraseña robada no comprometa a las demás. Use un administrador de contraseñas para generar contraseñas discretas para las cuentas de cada sitio web. Asimismo, intente mantener la Internet personal separada de la del trabajo; y nunca se registre en los sitios web usando su dirección de trabajo, ya que, si esa cuenta es comprometida, no querrá que su sitio de trabajo sufra ataques de phishing. Active la autenticación de dos factores cuando el sitio web lo permita, para hacer que sea más difícil para los atacantes usar credenciales robadas -especialmente si ese sitio es una institución financiera.

Amenaza nivel 6: Protección nuclear

Si lo que busca es una máxima protección, necesitará configurar un sistema de varios navegadores y sistemas operativos para mantener las actividades separadas. Y, probablemente, querrá considerar una serie de máquinas virtuales para aislar las amenazas.

Primera acción: Use diferentes navegadores web para sus distintas actividades. Tenga un navegador para transacciones financieras, otro para comunicarse y otro solo para navegar. De esa manera, si un atacante compromete un foro web que frecuenta, él o ella no podrá usar secuencias de comandos de sitios cruzados para obtener acceso a la banca en línea, porque el ataque no puede saltar a través de los navegadores. Las estafas que suceden en Facebook no pueden escapar y acceder a Amazon.

Tenga un navegador web dedicado exclusivamente a ese sitio sensible, la joya de la corona de sus cuentas, y sea restrictivo con la configuración. Por ejemplo, tener un navegador dedicado utilizado solamente para acceder al panel de control de Amazon Web Services significa que no hay forma de navegar accidentalmente a algún otro sitio web (ponga a AWS en la lista blanca y bloquee los otros) y exponer, de manera potencial, toda la infraestructura de nube de su organización. Active todas las opciones de seguridad para bloquear el navegador.

Consejo profesional: Para sitios extremadamente riesgosos -potencialmente peligrosos- o increíblemente sensibles, considere dividir la actividad en varias máquinas virtuales. Realice todas sus operaciones y transacciones bancarias en una máquina virtual dedicada usando un navegador bloqueado (aunque actualizado). Esto elimina todos los ataques web centrados en la banca, y el atacante tendría que hacer mucho más trabajo para obtener su información bancaria.

Los CDs de Linux Live son una muy buena alternativa para la ejecución de máquinas virtuales -incluso puede ejecutar un Live CD en una máquina virtual para obtener la máxima seguridad. Tails es una variante muy simplificada de Linux que se ejecuta fuera de una unidad USB y puede ser utilizada para ocultar las huellas digitales, ya que no mantiene nada constante.

¿Ha recibido algún archivo adjunto que le parece raro? Ábralo en una máquina virtual y si es malware, solamente habrá infectado una vacía. Creo que está de más decir que no debería asumir que todo está bien solo porque nada pasa en la máquina virtual, debido a que el malware puede estar diseñado para no operar dentro de una. Guarde ese archivo siempre en una máquina virtual y lejos de su escritorio principal.

Si quiere ocultar sus actividades en línea considere Tor, que esconde su identidad usando un cifrado para codificar las transmisiones de datos y rutas de tráfico entre varios nodos de Tor para ocultar el origen. Dado que su tráfico pasa a través de servidores aleatorios con Tor, los datos ya no están vinculados a su dirección IP personal.

Utilice NoScript para deshabilitar Java, JavaScript, Flash y otro tipo de contenido dinámico. Esta opción romperá una gran cantidad de sitios web, pero le permitirá autorizar el contenido manualmente, por lo que requiere una atención cuidadosa para asegurar que el código malicioso no sea aprobado por accidente. Adblock Plus bloquea los elementos emergentes y otro tipo de contenido de sitios de publicidad y spyware. Hay dudas acerca de la manera en la que Adblock Plus crea listas de bloqueo, ya que los anunciantes pueden pagar para estar en la lista blanca de la plataforma. Sin embargo, realiza muy bien el trabajo si el objetivo es desactivar anuncios emergentes y bloquear ataques potenciales.

Una alternativa es deshabilitar el JavaScript y bloquear todos los elementos emergentes del navegador. La mayoría de estos últimos los bloquea por defecto, pero JavaScript es activado de forma predeterminada, porque es ampliamente utilizado.

Manténgase a salvo

Estar seguro en línea es una combinación de tecnología, conciencia y disposición para hacer todo lo posible. El navegador actual ofrece mucha protección, incluyendo la capacidad de deshabilitar los complementos y activar los mecanismos anti-phishing. Solo el hecho de activarlos y completar la higiene básica de seguridad, como actualizar todo el software, le permitirá obtener los primeros beneficios.

Sin embargo, es más fácil que nunca ser infectado con malware o ser golpeado por un ataque de phishing. Algunas veces es solo cuestión de estar en el sitio equivocado en el momento equivocado, pero una vez que sepa qué es lo que más le preocupa y qué tanta gana tiene de arriesgarse, podrá establecer un régimen de seguridad que satisfaga sus necesidades y lo mantenga a salvo y productivo en línea.