Las estafas son cada vez más frecuentes y resulta fundamental protegerse. La clave está en llevar a cabo una 'computación defensiva' y tener un plan por si atacan tu cuenta.
En los últimos meses he conocido al menos a tres personas víctimas de la actividad de piratas informáticos que se han hecho con el control de sus cuentas de Gmail y han enviado correos a toda su lista de contactos
Los correos electrónicos, que parecen auténticos, afirman que han robado al titular del correo estando de viaje y éste ruega a los contactos que le envíen un giro para que pueda volver a casa. Lo que hace que el timo sea aún más eficaz es que suele pasarle a personas que efectivamente están de viaje por el extranjero, lo cual aumenta la probabilidad de que familiares y amigos caigan en el engaño.
Aunque se cree que una contraseña fuerte es una de las mejores defensas contra el fraude en línea, los hackers usan métodos cada vez más eficaces para comprometer las cuentas de correo, métodos que no necesitan adivinar la contraseña del usuario.
Es decir, ahora es más importante que nunca llevar a cabo una “computación defensiva” y tener un plan por si atacan tu cuenta.
El software malintencionado. Una amplia gama de software programado para hacer daño y que a veces se denomina “la amenaza avanzada persistente” está instalado en decenas de millones de ordenadores en todo el mundo.
Estos programas pueden capturar nombres de usuarios y contraseñas mientras los tecleas, enviar los datos a sitios web remotos e incluso abrir un “proxy” para que los atacantes puedan teclear órdenes en un buscador web abierto en tu propio ordenador. Esto hace que las medidas de seguridad de última generación como las contraseñas fuertes y el hardware de claves externas sean más o menos inútiles puesto que los "malos" teclean sus órdenes en tu propio ordenador después de que te hayas identificado.
En la actualidad la principal defensa contra el software malicioso son los programas antivirus, pero sucede, cada vez con más frecuencia, que el mejor software malicioso no se caza durante días, semanas o incluso meses después de haber sido lanzado. Como los antivirus están resultando ser poco eficaces, muchas organizaciones ahora recomiendan medidas de seguridad antediluvianas, como no clicar sobre enlaces y no abrir archivos recibidos por correo electrónico a menos que sepa que el correo es auténtico. Desgraciadamente, no existen herramientas para verificar la autenticidad de los correos.
Windows XP. Según el sitio web w3schools, aproximadamente el 33 por ciento de los ordenadores que navegan por Internet tienen instalado el sistema operativo Windows XP. Esto supone un problema porque, al contrario que Windows 7, XP es especialmente susceptible a muchas de las más perniciosas amenazas de software malicioso existentes en la actualidad. Windows 7, especialmente si está instalado en ordenadores de 64 bits, tiene características de seguridad intrínsecas al sistema operativo, como la asignación aleatoria de espacio de direcciones (ASLR en sus siglas en inglés) y una zona de datos no ejecutable. Estas protecciones jamás se incorporarán a Windows XP. Así, como regla general, no deberías usar Windows XP en un ordenador que esté conectado con Internet. Pero cuéntale eso al 33 por ciento.
Ordenadores públicos. Deberías evitar usar ordenadores públicos en hoteles, aeropuertos, bibliotecas y “centros de negocios” para acceder a cuentas de correo electrónico, porque es imposible saber si estos ordenadores están infectados con software malintencionado o no. Y muchos de ellos tienen instalado Windows XP. Así que evítalos.
Wi-Fi abierto. Los puntos de acceso inalámbricos que no requieren de una clave de acceso, no protegen tus datos en tránsito por el aire. Esto significa que cualquiera que esté usando el mismo punto de acceso puede “oler” tu nombre de usuario y contraseña. No he podido encontrar ningún informe de portátiles infectados con software malintencionado porque un analizador de paquetes los haya olfateado en cafeterías, pero es solo cuestión de tiempo. La única forma de protegerse es asegurarse de que los sitios web y los servidores de correo que usas emplean SSL (son las páginas que empiezan por “https:”) para todo, no solo para el acceso.
Ataques mediante intermediarios. Esos mismos puntos de acceso de Wi-Fi abiertos pueden detectar tu contraseña usando toda una serie de ataques que se denominan de intermediarios en los que tu ordenador envía información al sitio web erróneo que, a su vez, se lo pasa al correcto, así que el canal de comunicación parece estar bien.
Los ataques de intermediarios son especialmente sencillos de llevar a cabo a través del Wi-Fi, pero pueden tener lugar en cualquier parte de la Web. Los ataques de intermediarios también pueden ponerse en marcha a través de software malicioso. Aquí ni siquiera el SSL basta, tienes que asegurarte de que el certificado del sitio web con SSL es auténtico (un certificado falsificado le dirá a tu buscador que está conectándose al sitio correcto usando SSL). Además, la mayor parte de la gente ignora los avisos sobre la existencia de una incoherencia en los números de los certificados.
Estafas mediante phising. Sorprendentemente, un número importante de usuarios siguen cayendo en las estafas del tipo phishing, en las que entregan voluntariamente su nombre de usuario y contraseña a un sitio web malicioso. Normalmente los usuarios acaban en estos sitios al clicar sobre un enlace que les han enviado por correo electrónico.
Sitio web distinto, misma contraseña. Por último, muchos sitios web (incluyendo algunos periódicos nacionales y revistas) exigen que crees una cuenta con una dirección de correo y una contraseña para poder acceder a su contenido. No uses la misma contraseña que usas para acceder a tu correo electrónico, si no los dueños del sitio web (y cualquiera que piratee ese sitio) podrán hacerse con tus otras cuentas, incluyendo la de tu correo electrónico.
¿Qué sucede si cumples con todas estas precauciones y aún así tu cuenta de correo electrónico se ve atacada?
Aquí tienes algunas ideas:
Sé un pionero de la autenticación. Google, E*Trade y otras empresas han puesto en marcha sistemas que te permiten complementar tus contraseñas con un teléfono móvil u otro aparato de seguridad complementario. Aunque es posible vencer a estos sistemas con software malicioso, siguen siendo más seguros que usar solo una contraseña. Si te importa tu seguridad, deberías ser un pionero y probarlos.
Estate preparado. Google, Facebook, Apple, Amazon y otros te permiten tomar medidas proactivas de seguridad para proteger tu cuenta en el caso de que tu contraseña se vea comprometida. Esto incluye registrar direcciones de correo alternativas, registrar números de teléfonos móviles para una segunda autenticación y proporcionar respuestas a “preguntas secretas”. Lamentablemente, esto debes hacerlo antes de que pirateen tu cuenta, no después.
Estate atento. Facebook te permite proporcionar un número de móvil que recibe un SMS cuando alguien accede usando un buscador diferente al habitual. Esta es una forma fácil y eficaz de comprobar si alguien que no eres tú accede a tu cuenta. Si han accedido a tu cuenta, será un carrera por cambiar la contraseña antes de que lo hagan los atacantes.
Mantén múltiples cuentas de correo. ¡No te lo juegues todo a una única carta! Ten cuentas en múltiples servicios de correo y también cuentas en múltiples bancos. Así, cuando te pirateen por lo menos tendrás un sistema de respaldo.
Guarda copias fuera de línea. Por último, no guardes la única copia de tus valiosos datos en un servidor en la nube. Descarga tus datos a tu ordenador doméstico y luego cópialos en un disco o en un disco duro externo que no tenga conexión a Internet. Así, incluso aunque pierdas tu acceso a la Web, por lo menos tendrás una copia.
Simson L. Garfinkel es un autor e investigador residente en Arlington, Virginia (EE.UU.) que se centra en temas como la informática forense y la intimidad. Es colaborador de Technology Review.