Es cierto que es un tema en boca de todos en este último tiempo. Recuerdo que comenzó a importar demasiado con la filtración de datos de Facebook para influir en las votaciones de EE.UU, luego el ataque a los bancos Mexicanos, posteriormente, avanzó más al sur y fue Chile el siguiente afectado con el hackeo al Banco de Chile, la filtración de tarjetas de crédito, la filtración de datos de contacto de trabajadores bancarios, el hackeo a los email de las cámaras del congreso y quizás muchos más ataques.
Muchos cuando hablan de seguridad de la información, apuntan de inmediato a responsabilizar a las grandes entidades, que si bien no está errado, pero de verdad, ¿cuánto aporto yo a proteger mi información?
Si bien algunos de los puntos que trataré en este artículo van dirigidos a personas con conocimiento en informática, otros debiesen ser de conocimiento común y si no los sabías, debieses aprenderlos para aplicarlos a tu día a día.
Ahora te explico 3 razones por las que crees saber de seguridad y no sabes nada…
Instale un certificado SSL en mi web, ya está protegida.
Si tu meta era instalar un certificado de seguridad para cumplir con la exigencia de Chrome 68 y que tu web sea marcada como segura, bien, cumpliste. Pero eso no garantiza que tu sitio sea seguro, es más, puedes tener un certificado instalado, validado, pero seguir viendo esto.
Lo que significa que si bien instalaste correctamente el certificado, tu web tiene contenidos mezclados que no se reciben por un protocolo seguro “https” y que aún están sin cifrar.
Volvamos a hablar del certificado, tenerlo no hace que mágicamente tu sitio web sea seguro y si eres usuario de una web, mismo caso, ver este mensaje de “Seguro”, no hace que mágicamente la web sea real y segura, lo único que garantiza este mensaje es que la información que ingreses a los formularios, será cifrada y viajará segura, haciendo difícil para un atacante interceptar los datos y robarlos, pero ese sitio de igual manera podría estar siendo atacado en otros aspectos, por ej. podría tener script maliciosos dentro de su sistema, lo cual hará que tu información aunque viaje segura, sea extraída directamente de la base de datos, podría también ser un sitio clon, por ello aunque veas el mensaje “Seguro”, siempre asegúrate que la dirección de la web o la URL sean las correctas.
Como desarrollador, un certificado SSL no hará tu trabajo, es un paso para cumplirlo, pero no es todo, debes poder probar tu web contra ataques SQL Injection, XSS (Cross-Site Scripting ), si usas CMS, procura siempre tenerlos actualizados, asegúrate que tu proveedor de hosting cuente con respaldos de seguridad de información, que el software del servidor esté actualizado y que garantice alertas tempranas en caso de cualquier ejecución extraña en tu plataforma.
Mis contraseñas combinan letras y número, mayúsculas y minúsculas.
Muy bien, y ojalá no uses la mismas para todas tus cuentas. Muy posiblemente creas que esto es suficiente, pero no y no es culpa de Google que logren acceder a tu correo y te explicaré por qué.
Si bien hoy la tecnología nos facilita en demasía la comunicación remota y el teletrabajo, es practicamente innecesario para algunas profesiones tener que juntarse en una oficina, con requerimientos claros y fechas establecidas, se cumplen objetivos coordinados con herramientas en línea. Excelente, pero ¿qué pasa cuando abusamos de la confianza que tenemos con la tecnología? Ajá, ahí viene el problema, hace algunos meses publicaron en Internet un artículo que mostraba como con una simple query (consulta) en Google, podías extraer contraseñas de todo tipo, acá un ejemplo real “inurl:https://trello.com AND intext:@gmail.com AND intext:password”, escribe eso en Google y sorpréndete. Como te mencioné, si bien la tecnología es fantástica, nuestro mal uso abre brechas de seguridad, en este ejemplo el mal uso de la conocida herramienta de organización Trello, sirvió para romper la seguridad de múltiples cuentas, porque los usuarios por pereza escribían en las fichas de Trello los datos de acceso a las cuentas Google que compartían y aunque fueran contraseñas muy seguras y difíciles de recordar, eso no importaba! porque estaban publicadas y accesibles por cualquiera!!!
Tengo una nueva tarjeta de crédito con chip cuántico y tecnología marciana.
Hay gente que gusta muchísimo de la tecnología y al igual que el ejemplo anterior de Trello, su mal uso, hace que mucho tiempo de pruebas e investigación se vaya a la basura en solo segundos.
Es muy cierto que los mecanismos de pago y la tecnología que implementan hacen que cada vez nuestras transacciones puedan ser más fáciles, rápidas y digamos que un poco más seguras, jaja. Tener una tarjeta de crédito y acceso a Internet, hace que tu potencial de compras sea sin límites, claro, solo el límite de crédito es lo que puede mermar tu desenfreno de compras, pero hablemos de su seguridad, en Chile para una transacción mediante Transbank, te piden hasta el código de tu certificado de defunción, pero eso no ocurre con web internacionales, donde con tu nombre, número de tarjeta, fecha de vencimiento y cvv (Card Verification Value) es suficiente para completar una transacción, sin esperas, sin códigos extra, SMS u otro dato, simple y llanamente ese mínimo de información y ese paquete con el último celular que aún ni siquiera han inventado, ya está camino a tu casa…
¿Dónde está la brecha entonces? Fácil, ¿dónde pones tu información?, si bien revisamos anteriormente que ciertos mensajes de “Seguro” de los sitios webs, no los hacen realmente seguros, esto también ocurre con sitios de ecommerce, que de verdad no venden nada y están creados con ofertas increíblemente difíciles de rechazar, para capturar tu atención a las ofertas y robarte o mejor dicho, preguntar amablemente por tus datos de pago y luego robarte todo lo que puedan.
¿Quién no ha visto en Facebook oferta irrisorias de lentes Ray-Ban?
No quería ser yo el que lo dijera, pero son FALSAS, son un SCAM para robar tu información de pago y que después de hacerlo no te quede más remedio que ir a tu banco, bloquear tu tarjeta, quedar sin comprar un período de tiempo, esperar una nueva tarjeta, tener que cambiarla de tu cuenta Spotify, Netflix y Cabify y sentirte el ser más tonto por caer en semejante estafa. Así que muy atento a quien entregas tus datos más sensibles. Ahora como en todo, existen métodos de protección, uno simple es, si tu banco permite crear tarjetas de crédito virtuales con un saldo limitado, úsalas siempre que desconfíes de la web donde vas a comprar, si tu banco no lo permite, tranquilo, existe Paypal que será una capa de protección entre esa web en que no confías pero es muy barata y tu tarjeta de crédito.
Finalmente, sé que me he alargado mucho con el post, pero de verdad hay mucho de que hablar cuando de seguridad de la información se trata, les dejaré un ejemplo extra que si bien puede sonar paranoico, nos dará un poco en lo que pensar, hay muchos que hablan de no publicar todo en redes sociales, especialmente en Facebook, lo cual comparto, ya que en un próximo post, podría mostrar, como de manera muy fácil se puede obtener información no visible a primera vista en Facebook, pero ahora quiero dar un ejemplo de brecha de información en tu auto.
Sí, esos famosos stickers de familia podrían estar siendo una brecha de seguridad de tu información. Imagina que cuando un delincuente decide perpetrar un robo, muchas veces realizan una investigación previa de horarios en que se encuentra solo tu hogar, posibles entradas, etc, ahora imagina que con ese entretenido sticker estás facilitando parte de la información o bien incluso, generando atracción a ello, por ej. imagina cuando ese sticker indica directamente que es una madre soltera con una mascota. Da para pensar.
Con esto me despido y espero que tomes el control de tu seguridad, recuerda siempre que tu eres tu mayor brecha, por eso es tan conocida la ingeniería social, con la que se logra obtener muchísima información relevante en una simple conversación.