El día de Internet Segura y los vulcanólogos

Logo del día de Internet Segura.

Es el día en el que los que trabajamos en este campo intentamos realizar acciones de concienciación, eventos, charlas; intentamos meter en la cabeza de las personas un poco de preocupación por su propia seguridad. Como cuando los padres damos consejos a los hijos sobre cosas de la vida que, generalmente, son bastante obviados. Y yo tengo también esa misma sensación en muchas ocasiones, pues hay algunos consejos que los he repetido hasta parecerme a una madre —bendita sea la mía— diciendo eso de “no te vayas con malas compañías”, “estudia” y “aprende a ser autónomo”, pero en el área de la seguridad informática y la prevención personal.

Pero no lo consigo como para ponerme una medalla al estilo del Mago Andreu —referencia para boomers y Generación X temprana—, así que tengo que seguir insistiendo en la materia, a ver si por fuerza de repetición el estribillo queda en las orejas de algunos. Y sí, este año voy a volver a hacer una acción de dar consejos muy básicos pero muy fundamentales que los expertos tendemos a repetir porque son muy importantes. Y para llegar a más gente joven —cíclicamente repetimos los mismos errores generación tras generación— voy a hacerla con mis amigos de TikTok, que me han invitado a ello.

Mi cuenta de TikTok, donde doy consejos de seguridad informática, ciberseguridad y hacking.

Los consejos que estoy publicando en mi canal de TikTok son muy parecidos a los que voy publicando en esa cuenta de vez en cuando, pero comenzando por los tópicos más tópicos, que siguen siendo los básicos para estar seguros. Cosas que deberíais saber todos, como que proteger una cuenta de un servicio de Internet con una contraseña muy compleja no es para nada una medida de seguridad que sea útil, ya que las contraseñas no se descifran, sino que se copian o se roban al usuario.  No, las contraseñas complejas son un rollo inútil que debe ser sustituido por una contraseña normal —e incluso un pin de 4 números— y un segundo factor de autenticación. Si no lo tienes, te recomiendo Latch para proteger tus cuentas de Google, Facebook, Amazon, etc…

¿Cuándo sirven de algo las contraseñas complejas en la web?

El siguiente de los consejos es también uno de esos que se ha corrido como la pólvora. Ese que dice que “los antivirus no sirven para nada”. Pues no, los antivirus sirven para mucho, y hay que tenerlos con protección en tiempo real activados, pero es verdad que no son perfectos. Tampoco lo es un casco de moto si te caes de ella y te clavas un poste en el pecho, pero para los golpes en la cabeza es perfecto y salva muchas vidas. Los antivirus sirven para detectar y parar el malware conocido, no para defenderte de lo desconocido, pero como casco de moto es fundamental.

Los que te digan que vale con sentido común es que no tienen ni idea de cómo funciona el mundo de la ciberseguridad hoy en día y, por supuesto, no tienen sentido común, ya que ese sentido común debería llevarles a tener un antivirus y muchas más protecciones. Vamos, que los antivirus son como las vacunas de los virus conocidas. Si no te las pones, pues puede que si te topas con uno de ellos consigas defenderte, o lo más probable es que te acabes arrepintiendo.

Así que: ni las contraseñas complejas sirven para mejorar tu seguridad si no tienes un segundo factor de autenticación, ni los antivirus son inútiles, ni te basta con el sentido común.

Latch para poner Segundo Factor de Autenticación TOTP a tus identidades en Internet.

Y si reviso solo estas tres afirmaciones, seguro que entre los lectores tendré a mucha gente que pensaba diferente, que cree que estoy equivocado, que ellos tienen un amigo que sabe mucho de informática y que le ha dicho que eso no es así. Ya veis, para eso sirve el día de Internet Segura, para volver a incidir en pro del conocimiento y en contra de las suposiciones y especulaciones sobre estos temas.

Al final, hoy tendremos expertos vulcanólogos metidos a expertos en seguridad informática, ciberseguridad y hacking en sí mismos que dirán lo de las contraseñas complejas, el sentido común y que no hace falta un antivirus con protección en tiempo real.

Yo volveré, en este caso como os he dicho, por TikTok a hablar de estas cosas. A decir que da lo mismo si usas Windows, Linux o Mac, que tienes que preocuparte de tener todo el software del sistema operativo y las aplicaciones actualizadas porque todos los programas tienen vulnerabilidades a pesar de que sea Open Source, software comercial, o lo hayan programado personas muy inteligentes. El software es complejo y garantizar que un código no tiene bugs es harto complejo. Así que las pruebas de calidad de los programas dan el “Go” a desplegar un nuevo programa cuando están más o menos seguro de que no rompe nada y que arregla cosas que ya se sabe que están mal. Integración continua, desarrollo ágil y mantenimiento constante del software se llaman estas disciplinas.

Así que no. Si te han dicho que con Firefox y Linux estás 100% seguro navegando por Internet o alguna recetilla parecida, no va a ser tan fácil. Lo siento. Es como esos que te han dicho lo fácil que es forrarse con las criptomonedas hoy en día. Tampoco. Siento ser yo el que te lo diga. Es tan fácil forrarse con las criptomonedas como hacerlo con la bolsa. Puedes tener un súper-pelotazo, pero la mayoría de las veces vas a tener un súper-batacazo. Avisado he, y avisando sigo sobre el tema.

Al final, estar seguro en Internet exige que te preocupes de vedad, que aprendas a proteger tus identidades digitales, que configures medidas de protección extra como el antivirus o el segundo factor de autenticación, que utilices las redes sociales con moderación, sin tolerar el odio y fomentar las burlas y acosos en las ellas. Que no caigas en las estafas de las habichuelas mágicas de las criptomonedas porque de verdad entiendas cómo funcionan las criptomonedas, que trabajes constantemente para mantener tu sistema operativo y tus aplicaciones actualizadas para evitar los fallos conocidos y subsanados, y que aprendas a reconocer con destreza un ataque de phishing cuando te llega.

Las historias de habichuelas mágicas con criptomonedas que usan los Falsos Brokers.

Estos ataques de phishing, o de suplantación de entidades y personas de confianza de las víctimas, siguen siendo el principal problema de seguridad en Internet. Para las personas y para las empresas. Un correo especialmente diseñado para ti con el objetivo de que hagas clic en un enlace. Si haces clic, te puede venir un virus que se aproveche de que no tienes antivirus con protección en tiempo real, o un exploit —o programa de ataque que explota fallos conocidos del software— que controle tu equipo por medio de un fallo conocido pero que tienes en tus programas por no haber actualizado el software de tu ordenador, o que te pidan en un formulario web tu contraseña —esa compleja— para que se la des tranquilamente y pueda robarte la cuenta, porque no tienes un segundo factor de autenticación protegiendo esa identidad.

Uno de los muchos correos de phishing que recibo al mes.

A pesar de que cuando yo comenzaba a dar charlas con demos reales de hacking la gente pensaba que aquello era como magia, lo cierto es que todo es mucho más sencillo. Se trata de “sentido común”, el sentido común de saber un huevo para entender cómo funcionan las cosas, estudiar un poco mucho, escuchar con las dos orejas a los que de verdad son expertos en seguridad informática y no a los vulcanólogos reconvertidos, ponerse el casco antes de subirse a la moto, hacer las revisiones del vehículo y conducir habiendo estudiado las señales de tráfico.

Así que hoy, Día de Internet Segura, si consigo con este artículo hacerte reflexionar un poco sobre algún tema, habremos conseguido el objetivo. Nos quedará mucho mundo, seguro, pero si de algo podemos estar seguros los expertos en seguridad informática es de que no se puede estar nunca 100% seguro. Qué curioso.

¡Saludos Malignos!