9 datos básicos sobre seguridad que los expertos desearían que supieras

Todos los días oímos noticias sobre fallos de seguridad, virus, o grupos de hackers sin escrúpulos que pueden ponerte en apuros, o peor, poner en apuros todo un país.

seguridad

¿Qué hay de cierto en todos estos peligros digitales? Hemos pedido a varios expertos en seguridad electrónica que nos separen los hecho de los mitos. Esto es lo que han dicho:

1.- Tener una contraseña fuerte realmente puede prevenir la mayoría de ataques

El jefe de seguridad de Facebook, Alex Stamos, se ha pasado la mayor parte de su carrera buscando brechas de seguridad y tratando de descubrir cómo tratan los hackers de sacar provecho a esos fallos. A lo largo de su carrera ha visto de todo, desde los ataques más retorcidos a las estafas mas sencillas de ingeniería social. En ese tiempo, lo que ha descubierto es que hay dos soluciones muy simples para la amplia mayoría de usuarios: una contraseña fuerte y verificación en dos pasos.

Stamos cree que el mayor problema es que las noticias se centran en los casos de ataques más complicados y eso deja en los usuarios cierta sensación de que no pueden hacer nada para defenderse por sí mismos, pero eso no es cierto. Stamos escribe:

He notado un montón de nihilismo en los medios de comunicación, los expertos en seguridad y la propia opinión pública desde que los documentos de Snowden se hicieron públicos. Este nihilismo suele expresarse levantando las manos y diciendo: “No hay nada que pueda hacer para estar a salvo”. Es cierto que una persona normal no puede hacer mucho contra la infraestructura de una gran agencia de inteligencia capaz hasta de reescribir el firmware de un dispositivo, pero eso no debería disuadir a los usuarios de hacer lo que esté en sus manos para protegerse de amenazas más probables, y a los expertos en seguridad de crear sistemas de protección prácticos contra adversarios mas reales.

A nivel de usuario, las personas pueden protegerse contra los ataques más probables y dañinos con solo seguir dos simples pasos:

1) Instalar un programa de gestión de contraseñas para crear códigos únicos para cada uno de los servicios que usa.

2) Activar la verificación en dos pasos (generalmente vía mensajes de texto) en su correo electrónico y redes sociales.

El último es especialmente importante porque una vez que los hackers descubren una contraseña de cualquier tipo la usan para probar suerte en otros servicios con el fin de hacerse con la mayor cantidad de información posible. De verdad me gustaría que los medios de comunicación dejaran de extender la idea de que, por el hecho de que las amenazas de alto nivel sean cada vez mas sofisticadas, no es posible protegernos en la mayor parte de escenarios.

Adam J. O’Donnell, ingeniero en el Grupo Avanzado de Protección contra Malware de Cisco, amplia las afirmaciones de Statmos:

Mi consejo para el ciudadano medio: Haz buenas copias de seguridad y ponlas a prueba a menudo. Usa un sistema de gestión de contraseñas y una contraseña diferente para cada servicio.

Efectivamente, tener una buena contraseña es fácil y sigue siendo la mejor protección que puedes tener.

2.-El hecho de que un dispositivo sea nuevo no significa que sea seguro

Cuando abres la caja de tu nuevo smartphone, tableta o PC huele a plástico nuevo y las baterías funcionan de maravilla, pero eso no quiere decir que el equipo no esté ya infectado con malware o lleno de vulnerabilidades.

Este consejo lo he oído de muchos consultores de seguridad a los que he entrevistado. Eleanor Saitta es la directora técnica del Instituto Internacional Modern Media, y lleva una década asesorando a gobiernos y corporaciones sobre seguridad informática. Saitta cree que uno de los mitos más perniciosos sobre seguridad es que los dispositivos comienzan su vida útil completamente seguros pero van mostrando fallos con el tiempo. Simplemente no es cierto. Algunos dispositivos hasta vienen con malware instalado de serie como el famoso Superfish que venía en tantos equipos Lenovo.

Esa es la razón por la que Superfish fue un caso tan sonado. Hicieron una puerta de atrás, pero la hicieron con tanta incompetencia que cualquiera con conocimientos podía utilizarla.

Cuando confías en un código escrito por otra persona o un servicio online sobre el que no tienes control hay posibilidades de que no actúen completamente en beneficio nuestro sencillamente porque su objetivo es vendernos cosas. Hay muchas posibilidades de que el sistema en cuestión ya esté comprometido o pertenezca a otra persona. No hay una buena manera de gestionar la confianza para ello ahora mismo, y es probable que haya muchas personas usando ya ese código.

El otro problema, que apareció a comienzos de este año con el ataque FREAK, es que muchas máquinas vienen con puertas traseras preinstaladas. Estas puertas se instalan a petición del propio gobierno para que las agencias de inteligencia tengan más fácil hacer seguimiento a ciertos objetivos. El problema es que, una vez se conocen, estas puertas traseras pueden ser usadas por cualquiera. Saitta explica:

Es fundamental que entendamos que si se construye un sistema de monitorización en una red móvil o en un sistema de cifrado, cualquiera puede usarlo. Es una vulnerabilidad en el sistema y, por mucho que se intente controlar, una puerta trasera es una puerta trasera. Cualquiera puede entrar por ella si sabe cómo hacerlo.

3.- Hasta el mejor software tiene fallos de seguridad

Muchos imaginan que si el software es lo bastante bueno, es completamente seguro. Debido a esta actitud, muchos usuarios se enfadan cuando las máquinas o software que usan resultan ser vulnerables a un ataque. Después de todo, si somos capaces de diseñar un coche seguro, ¿por qué no vamos a poder diseñar un software seguro? Al fin y al cabo solo es cuestión de tener la tecnología adecuada ¿no?

Parisa Tabriz nos explicaba vía email que este concepto es totalmente erróneo. Tabriz es la ingeniera al frente del equipo de seguridad de Chrome, y cree que la información sobre seguridad se parece un poco a la medicina (un poco entre el arte y la ciencia) que a las ciencias puras. La razón es que la tecnología la fabrican seres humanos con motivaciones muy poco científicas. Esto es lo que dice:

Creo que la información sobre seguridad informática es en muchos sentidos parecido a la Medicina: es al mismo tiempo un arte y una ciencia. Es posible que sea porque los humanos han construido y diseñado, de manera explícita y desde cero, cosas como la seguridad e internet. Asumimos que deberíamos ser capaces de hacerlos a la perfección, pero la complejidad de ello nos supera y ahora esa tarea parece casi imposible. Hacerlo seguro implicaría que no existiese ningún bug, algo imposible

Siempre habrá bugs en el software. Siempre. Algunos de ellos tendrá un impacto en la seguridad de muchos. El reto es darse cuenta de cuáles merece la pena arreglar y a cuáles merece la pena dedicar recursos. Mucha de esa especulación se basa en modelos básicos de amenazas que se beneficiarían enormemente si se fijasen más en las motivaciones humanas, como el crimen, la monitorización etc.

La investigadora en seguridad informática de RAND Corporation, Lillian Ablon, me escribió también por email para ratificar lo mismo: no hay ningún sistema 100% seguro. El objetivo de los que se encargan de protegerlo es hacer que el ataque resulte muy caro de realizar, no imposible:

Con suficientes recursos, siempre suele haber una manera para el atacante de romper la seguridad. Es posible que te suene la frase “es una cuestión de cuando, no de si” en relación a este problema. En su lugar, el objetivo de la seguridad informática es elevar los costes para los atacantes (en cuestiones como el tiempo, los recursos, la investigación… etc).

4.- Cada página web debería usar HTTPS

Es muy probable que hayas oído prácticamente todo rumor habido y por haber sobre HTTPS. Que si es solamente para páginas que deben ser ultra seguras, que si no funciona realmente… todas son incorrectas. Peter Eckersley, de la Electronic Frontier Foundation, es un tecnológo que ha estado investigando el uso de HTTPS desde hace varios años y trabajando con el proyecto de la Electronic Frontier Foundation llamado HTTPS Everywhere. Afirma que hay un error de concepto muy peligrosos en el que la gente cree que la mayoría de webs y apps simplemente no necesitan HTTPS. Así lo explica:

Otro serio error es algunos propietarios de páginas webs relevantes, como periódicos o redes de publicidad, penando que “como no procesamos ningún pago online, nuestro sitio no necesita HTTPS”. Toda página en la web debería ser HTTPS, porque sin él es fácil para haceros, curiosos o herramientas de protección del gobierno ver exactamente cómo la gente reacciona en el sitio, qué datos procesa tu aplicación o incluso alterar esos datos de manera maliciosa.

Eckersley no está afiliado a ninguna compañía ni tiene ningún interés comercial (la EFF es una organización sin ánimo de lucro), y por tanto ningún conflicto de interés cuando se trata de promover el uso de HTTPS.

5.- La nube no es (100%) segura, de hecho sólo propicia nuevos problemas de seguridad

Una gran mayoría de datos está en la nube en la actualidad. Ahí tienes tu correo, tus fotos, us mensajes instantáneos, tus documentos médicos, tus datos del banco e incluso tu vida sexual. Y de hecho está ahí más segura de lo que cabría esperar. Al mismo tiempo, y sin embargo, crea nuevos problemas de seguridad que obviamente hay que tener en cuenta. La ingeniera de seguridad Leigh Honeywell trabaja para una gran compañía de cloud computing, y explica cómo funciona la seguridad en la nube:

Tu casa es tu casa y normalmente, sabes exactamente el tipo de precauciones que debes tomar para protegerla contra intruso y además qué es lo que ganas y lo que pierdes para cada una de ellas. ¿Valla electrificada? ¿Un sistema de alarma? ¿Barrotes en la ventana? ¿O preferiste evitarlos porque afeaban la imagen de la casa?

¿Vives en un sitio con portero? Yo llegué a vivir en un sitio donde hacía falta una tarjeta de seguridad para ir a cada piso concreto: Era más enojoso y cansado, sí, pero también más seguro. El guardia de seguridad se aprendía los patrones de movimiento de los inquilinos y así puede reconocer intrusos potenciales. Tiene más información que el propietario individual.

Poner tus archivos en la nube es parecido a vivir en uno de esos apartamentos. Sólo que más raro. Honeywell amplía:

Los servicios en la nube son capaces de correlacionar datos de sus clientes para deducir patrones que sean peligrosos para su seguridad. Puede que no tengas 100% acceso al lugar donde tus datos se están almacenando, pero hay alguien, un “portero”, en ese edificio virtual 24 horas 7 días a la semana y ese alguien ve los patrones y los logs del sistema. Es algo así como una protección derivada de ser una manada. Hay muchos que automáticamente lo hacen saltar: una única dirección IP accediendo a varias cuentas a al vez en varios países distintos donde nunca antes se ha accedido a esa cuenta. O que algunas de esas cuentas compartan un mismo tipo de archivo, indicando que puede ser malicioso.

Si es un ataque más dirigido, los signos serán más sutiles. Ahí es prácticamente como buscar una aguja en un pajar, porque tienes que manejar muchos más datos. Hay mucho entusiasmo con el big data y el comportamiento de aprendizaje de las máquinas pero la verdad es que apenas estamos rascando la superficie ahora mismo. Un atacante con habilidad puede aprender a moverse de manera sigilosa y sin provocar que salten los sistemas de detección .

En otras palabras, algunos métodos de ataque automatizados hacen saltar las alarmas casi al instante. Pero también es sencillo esconderse. Honeywell aclara que los usuarios necesitan considerar cada clase de amenaza cuando elijan un servicio en la nube o uno local.

Los servicios en la nube son mucho más complejos que, digamos, un disco duro conectado a tu ordenador, o un servidor de email ejecutándose en tu casa. Hay muchos más lugares donde las cosas pueden salir mal, más partes móviles. Al mismo tiempo, también hay más gente encargada de que nada de eso ocurra. Lo que la gente debería preguntarse es: ¿es mejor que yo mismo me encargue de esto o debería dejar que gente con más tiempo, dinero y conocimientos se encargue? ¿En quién pienso cuando me viene a la mente un ataque informático: la NSA, un gamer irritado o una ex-pareja? Yo alojé mi propio servidor de email durante años, hasta que finalmente lo moví a uno dedicado. Conozco a gente que trabaja en Gmail y Outlook.com y hacen un mejor trabajo manejando ese tipo de asuntos del que yo habría hecho jamás. Es también una inversión de tiempo, porque administrar uno es un jaleo constante. Para algunos, sin embargo, merece la pena, porque les preocupa que la NSA meta sus narices.

6.- Las actualizaciones de software son vitales

Hay pocas cosas más irritantes en esta vida que un popup recordando que tienes actualizaciones pendientes. A menudo tienes que enchufar el aparato a la corriente y en ocasiones pueden llevar un largo tiempo. Pero a la vez son lo único que se interpone entre tú y el malo de la peli. O’Donell lo explica así:

Los mensajes de actualización no están ahí exclusivamente para irritarte: la frecuencia con la que hace falta actualizar no depende tanto de las nuevas características sino más bien por fallos que algún atacante ha conseguido explotar. Estas actualizaciones lo identifican y lo arreglan. Lo más probable es que si tienes una herida en el brazo infectada no pases días sin tratarla. Aquí es lo mismo.

7.- Los hackers no son criminales

A pesar de que décadas de historia indican lo contrario, los hackers no son lo que la mayoría de la gente piensa: adversarios con nada más que hace que robar sus preciados bienes digitales. La cuestión es que los hackers pueden llevar tanto un amable sombrero blanco como otro negro. Los que lo tienen blanco entran en sistemas antes que los del sombrero negro para parchar el problema. Tabriz lo amplía así:

Los hackers no son criminales. Sólo porque alguien sepa como vulnerar algo no significa que utilizará ese conocimiento para hacer daño a los demás. La mayoría hacen de hecho que las cosas sean mejores.

O’Donnell a su vez enfatiza que los hackers son necesarios porque el software sin más no puede protegernos al completo. Sí, los antivirus son un buen comienzo. Pero al final necesitas a expertos de seguridad como los hackers para defenderte contra adversarios que son, después de todo, seres humanos:

La seguridad no gira en realidad tanto en torno a construir muros de protección como en habilitar guardianes válidos para vigilar el paso. Las herramientas de defensa por sí mismas no pueden parar a un atacante con los suficiente recursos. Si alguien quiere entrar a toda cosa, comprarán toda herramienta de seguridad que les permita hacerlo y la probarán contra tí. Combatir eso requiere no solo buenas herramientas sino también buenas personas detrás de ellas.

Ablon, de RAND, añade que los hackers maliciosos raramente suponen la amenaza que la gente les atribuye. La mayoría de ataques, en realidad, vienen de gente que no te esperas y sus motivaciones suelen ser más complicadas que únicamente el hurto:

En muchas ocasiones un empleado supone una amenaza igual de grande en términos de seguridad, y puede hacer que esta vaya al traste de manera involuntaria. Al mismo, hay distinto tipos de ciberamenazas (cibercriminales, el estado, hacktivistas) con diferentes motivaciones y posibilidades. Por ejemplo, los cibercriminales que vulneraron Target y Anthem tenían un trasfondo completamente distinto a, por ejemplo, los gubernamentales que trajeron de cabeza a Sony Pictures.

8.- El ciberataque y el ciberterrorismo no son tan frecuentes

Como han dicho los expertos en seguridad, tu mayor amenaza es que alguien entre en tus cuentas por culpa de una contraseña mal diseñada. Con todo, eso no impide que la gente se aterrorice por algún tipo de “ciberataque” criminal a más escala:

Sí, hay maneras de vulnerar un vehículo desde cualquier parte del mundo. Sí, los instrumentos de los hospitales como los marcapasos pueden controlarse remotamente y las bombas de insulina tienen direcciones IP o están disponibles vía Bluetooth. Pero a menudo al mayoría de ataques requieren un acceso por proximidad, y los exploits que son lo suficientemente útil requieren una buena cantidad de tiempo para desarrollarse e implementarse. Dicho eso, no deberíamos ignorar que millones de dispositivos conectados (el Internet de las Cosas) puede ampliar el número de cosas sobre las que se puede atacar.

En cuanto al ciberterrorismo, Ablon aclara que a día de hoy no existe, lo que se atribuye al ciberterrorismo normalente pertenece a hacktivismo, conseguir acceder a la cuenta de Twitter de CENTCOM etc.

9.- Darknet y la Deepweb no son la misma cosa

Ablon explica además que uno de los principales problemas en cómo los medios tratan el cibercrimen es no utilizar correctamente los términos “Darknet” y “Deepweb”

La Deepweb se refiere a esa parte de Internet, dentro de la World Wide Web (así que tiene que empezar con www.) que no se indexa por los motores de búsqueda y por lo tanto es invisible para Google. Darknet se refiere a redes que no están en la World Wide Web, y los usuarios necesitan un software especial para entrara, como es Tor. Por ejemplo, Silk Road y varios mercados ilícitos más operaban en la Darknet con redes como I2P y Tor.

En conclusión: utiliza un gestor de contraseñas, utiliza la autenticación en dos pasos, visita sólo sitios que utilicen HTTPS y deja de preocuparte por ataques criminales ultra enrevesados. Por último, recuerda: los hackers están ahí para protegerte, al menos la mayoría de las veces.

Artículo original en gizmodo.com