Llegamos a ustedes gracias a:



Reportajes y análisis

5 pasos para minimizar el riesgo después de una intrusión de datos

[10/11/2018] Sucedió de nuevo. Otro servicio web importante perdió el control de su base de datos, y ahora está luchando para mantenerse delante de los malos. Por mucho que los odiemos, los robos de datos están aquí para quedarse. La buena noticia es que no tienen que provocar un pánico total, sin importar qué tan sensibles puedan ser los datos robados. Por lo general, existen algunos pasos muy simples que puede tomar para minimizar su exposición a la amenaza potencial.

Así es cómo.

Paso 1: Determinar el daño

Lo primero que hay que averiguar es qué tomaron los hackers. Si obtuvieron su nombre de usuario y contraseña, por ejemplo, no tiene mucho sentido alertar a su compañía de tarjeta de crédito.

Los artículos de noticias y las declaraciones de la compañía deben dejar muy claro qué se filtró. ¿Fue solo su dirección de correo electrónico o también los datos de su contraseña? ¿Qué pasa con las tarjetas de crédito (si corresponde) o datos personales como mensajes privados?

Este es el primer paso para crear un plan de recuperación efectivo, pero antes de tomar cualquier acción, existe una pregunta crítica de seguimiento.

Paso 2: ¿Pueden los malos usar sus datos?

Los hackers roban datos todo el tiempo, pero muchas veces los datos robados son inutilizables gracias a las prácticas de seguridad que incluyen términos como "hash, "salted y "encriptados. Si los datos están en la forma de "cleartext, eso significa que no se ha utilizado criptografía, y es tan fácil de leer y manipular como un documento de Word o un mensaje de correo electrónico normal.

Los datos de hash, por otro lado, son datos que se han codificado de tal manera que no se pueden decodificar de nuevo a texto sin formato. El hashing se usa a menudo para bases de datos de contraseñas, por ejemplo.

Sin embargo, no todos los métodos de hashing son iguales, y algunas veces son reversibles. Como segunda línea de defensa, una empresa puede agregar lo que se llama salt -datos aleatorios- para hacer que la decodificación sea más difícil. La conclusión es que necesitará probar un poco más para ver si la compañía cree que los datos son utilizables o no.

Finalmente, se supone que la encriptación es un proceso de aleatorización bidireccional que solo le permite a alguien con la "clave (generalmente un archivo de contraseña o contraseña) sea capaz de decodificar los datos.

Incluso si los hackers tomaron datos con hashing o encriptación, a veces las compañías aconsejan cambiar su contraseña, solo por precaución.

Paso 3: Cambie la contraseña

Si necesita cambiar su contraseña, entonces sea proactivo. Cambie su contraseña de inmediato y, si es posible, no espere un mensaje de correo electrónico o mensaje de advertencia de la empresa.

Si ha estado usando la misma contraseña en otros sitios, cámbiela también. Un solo robo de datos puede derribar fácilmente otras cuentas si está reutilizando contraseñas. No lo haga.

Paso 3a: Comience a usar un administrador de contraseñas

Si aún no lo hace, es un buen momento para comenzar a usar un administrador de contraseñas. Estos programas pueden crear contraseñas nuevas y difíciles de adivinar, guardándolas para cada cuenta en línea que posea. También protegen sus contraseñas con encriptación y, por lo general, están disponibles en todos sus dispositivos.

[8 administradores de contraseñas para Windows, Mac OS X, iOS y Android]
[Los mejores administradores de contraseñas para Android]
[Los mejores administradores de contraseñas para iPhone]

Paso 3b: Ponga un bloqueo adicional en sus cuentas con 2FA

Las contraseñas ya no son suficientes, por lo que también es una buena idea habilitar la autenticación de dos factores (2FA, por sus siglas en inglés) en cualquiera de las cuentas que lo admiten. La autenticación de dos factores significa que su servicio web requerirá un código secundario de seis dígitos antes de permitir el acceso a su cuenta, incluso con la contraseña correcta.

Esta es una gran manera de frenar a los malos. Desafortunadamente, también tiene el mismo efecto en usted. La mayoría de los servicios solo requieren un código 2FA por dispositivo cada treinta días. En algunos casos, solo una vez en un solo navegador desde un solo dispositivo. Así que no es demasiado terrible.

La mejor manera de usar la autenticación de dos factores es con una aplicación o dispositivo dedicado a generar estos códigos. No se recomienda recibir códigos de SMS, ya que son vulnerables a una variedad de ataques relativamente triviales.

Paso 3c: Genere un correo electrónico de recuperación de contraseña dedicado

Muchas páginas web le permiten establecer una dirección de correo electrónico de recuperación específica, que está separada del correo electrónico de su cuenta principal. Esta es la dirección de correo electrónico donde obtiene los enlaces para restablecer su contraseña después de hacer clic en el enlace "¿Olvidó la contraseña? en un sitio web.

Es mejor tener una dirección de correo electrónico específica que sea solo para correos electrónicos de recuperación de cuentas y que no esté conectada a su identidad. Si su cuenta de Gmail es JAndrews, no use JAndrews@outlook.com, por ejemplo. Si utiliza su correo electrónico regular para recuperar la cuenta, los hackers pueden dirigirse a esa dirección de correo electrónico y, si lo comprometen, controlar su vida en línea.

Al igual que con cualquier otra cuenta de correo electrónico, asegúrese de que su correo de recuperación esté protegido con una contraseña difícil de adivinar y una autenticación de dos factores.

Paso 4: Póngase en contacto con su proveedor de tarjeta de crédito

Si el número de su tarjeta de crédito se vio comprometido, debe avisar a su banco o proveedor de tarjeta de crédito. Si fue una infracción particularmente grande, es muy probable que su banco ya lo sepa, pero aun así es una buena idea hacerles saber que recibió el golpe.

Desea asegurarse de hablar con un representante y contarles lo que sucedió. La compañía probablemente cancelará su tarjeta y emitirá una nueva.

No espere. Notifique a su banco o compañía de tarjeta de crédito de inmediato para asegurarse de que no sea responsable por cualquier cargo fraudulento. Si un número de tarjeta de débito fue robado, este paso es doblemente importante. No solo porque eso significa que el efectivo dejará su cuenta con cada mal cargo, sino también porque las tarjetas de débito no tienen las mismas protecciones de recuperación que las tarjetas de crédito.

Paso 5: Considerar las tarjetas prepago

Otro buen paso es ir con tarjetas de débito prepago, de uso limitado, que están conectadas a su cuenta bancaria real pero no son sus tarjetas de débito reales. Privacy.com le permite hacer esto, y es una excelente manera de protegerse. En lugar de usar su número de tarjeta real, puede usar tarjetas prepago con todo tipo de límites, como una tarjeta que solo es para Netflix, o tarjetas limitadas a un máximo de cien dólares. Incluso puede crear una tarjeta de un solo uso para una compra importante. Es un servicio muy útil, y si alguna vez su tarjeta prepago filtra información, simplemente puede borrarla y volver a empezar.

Permanezca tranquilo

Los grandes robos de base de datos son desagradables, pero frecuentes, lo que significa que no es una cuestión de si va a verse afectado, sino cuándo. La buena noticia es que ser un poco proactivo puede ayudar a evitar los dolores de cabeza derivados del robo de identidad.