Seguridad cibernética portada. Nodos candado, escudo

Seguridad cibernética

El propósito de este post no es analizar todas las formas de ataque posibles, sino el de tener una guía robusta para aumentar tu seguridad cibernética considerablemente, sacrificando el mínimo de comodidad.

Como comenté en el artículo sobre privacidad, cualquier persona es susceptible de ataques si el atacante tiene la motivación, conocimientos y recursos suficientes. Aun así, tener una seguridad cibernética más robusta que el usuario medio te proporciona la tranquilidad de ser un blanco menos atractivo.

A continuación, describiré las medidas mínimas que se deben tomar junto con el motivo de la misma para entender mejor el objetivo de cada una.

No muestres tus posesiones

Para evitar ser atacado lo más importante es no ser un blanco, si no muestras nada de lo que tienes será más difícil que alguien se centre en ti. Muchos “gurús” de criptomonedas que enseñaban repetidamente sus balances de millones en Twitter han sido hackeados, por ejemplo, Ian Balina1.

Servicios de correo seguros

Prácticamente todos tenemos un correo Hotmail o uno Gmail, pero no son seguros y probablemente recolecten información tuya. En su lugar, utiliza ProtonMail, centrada en el correo seguro y donde te puedes registrar de forma totalmente anónima. Los correos están encriptados y no rastrean tu IP para saber dónde estás.

Sigue mi tutorial para crearte un correo seguro en Protonmail en menos de 5 minutos.

ProtonMail pertenece a una empresa suiza, así que se encuentra fuera del alcance de la mayoría de las presiones internacionales. Tiene versión gratuita y aplicaciones para iOS y Andorid, de código abierto y con la misma seguridad cibernética que la opción web. Para los registros a páginas más críticas siempre es mejor utilizar un correo nuevo y exclusivo.

Contraseñas únicas y robustas

Utiliza contraseñas de más de 12 caracteres con mayúsculas, minúsculas, números y símbolos, del estilo: A^9x36o*aw&r1vM#. (Esta contraseña es solo un ejemplo, ¡no la utilices!). Puedes inventarla tu o puedes utilizar un generador de contraseñas, por ejemplo, el administrador de contraseñas LastPass tiene el suyo propio incorporado. Utiliza siempre una contraseña distinta para cada cuenta.  Como comenté en el artículo de privacidad, si hackean una empresa grande, se filtran los correos y contraseñas que pueden acabar en malas manos. Si tienes una contraseña distinta para cada servicio o página de internet, solo tendrán acceso al servicio donde te hackearon.

Recuerda que puedes comprobar si tu correo electrónico ha sido hackeado en esta página, además de especificarte en qué servicio te hackearon. La combinación de correo y contraseña de ese hack está comprometida y deberías de cambiarla donde la hayas utilizado.

Utiliza un administrador de contraseñas

No utilices el administrador de contraseñas de tu navegador de internet (Chrome, Firefox, Brave, etc.) para almacenar contraseñas, detalles de tarjetas bancarias o cualquier otra información importante. Ha habido hackeos relacionados con estos gestores, además, no se pueden asegurar con autenticación de dos factores (2FA).

Cambia la contraseña (¡esa que utilizas con el mismo correo electrónico en todos los lugares, si!), de todos los servicios importantes:

  • redes sociales
  • Bancos
  • Apple
  • Microsoft
  • Servicios de almacenamiento en la nube
  • Evernote o programas de notas similares
  • Amazon
  • Google
  • Paypal
  • Exchanges de criptomonedas si utilizas
  • Etc.

Utiliza autenticación de dos factores siempre que te lo permita el servicio

Gestionar tantas contraseñas y correos diferentes es complicado. Para simplificarte la vida puedes utilizar administradores de contraseñas como LastPass, 1Password, entre otros.

Como he comentado antes, la ventaja de estos programas es que se les puede añadir autenticación de dos factores. El administrador de contraseñas es muy recomendable porque nos permite tener correos y contraseñas robustas recordando solo una contraseña larga y compleja y con autenticación de dos factores.

También se pueden utilizar administradores de contraseñas físicos como Trezor, una cartera de criptomonedas física. Puedes llevarla a cualquier lado, es muy segura y se accede con un código PIN.

Utiliza autenticación de dos factores (2FA) en todas las cuentas importantes

No utilices la autenticación de dos factores mediante un mensaje de texto al teléfono móvil. Esta práctica es de las seguridades más débiles2. ¡Han hackeado la cuenta de Twitter del mismo creador de Twitter de esta forma3! Para realizar un ataque de este estilo tan solo se necesita llamar a la compañía telefónica y pedir otra tarjeta SIM. Algunas cuentas, como las de Google, te obligan a utilizar autenticación de dos factores vía SMS. Mi recomendación es que lo sustituyas siguiendo los pasos de esta guía y luego borres tu teléfono.

Puedes utilizar cualquiera de las aplicaciones de autenticación como Google Authenticator, estas aplicaciones generan códigos aleatorios como los que te envían por mensaje SMS, pero de forma local y sin requerir cobertura ni internet. La instalación es sencilla y no tienes que configurar nada, puedes utilizarlo sin crear cuentas ni acceder a ningún perfil. Si puedes instalarlo en un dispositivo de repuesto que no utilices, mejor. Al final, estás añadiendo un dispositivo más al que deberían de hackear, así que si no pueden tener acceso a el porqué lo tienes desconectado de internet, más difícil el ataque.

Google Authenticator

Cuando configuras Google Authenticator en un nuevo servicio obtendrás un código de recuperación, es muy importante escribir estos códigos en un sitio seguro. Si pierdes el dispositivo móvil y no tienes los códigos, tendrás que verificarte en todos los servicios hablando con soporte técnico.

Seguridad cibernética 2FA código de recuperación

También puedes utilizar dispositivos físicos como YubiKey (o similares), tienen hasta soporte NFC para autenticar de forma rápida y cómoda hasta en dispositivos móviles. Son cómodos y funcionan de forma similar a la cartera Trezor.

Existe una aplicación de autenticación de dos factores llamada Aunthy, similar a Google Authenticator, pero utiliza tu número de teléfono para la generación de las contraseñas y no el dispositivo físico como Google Authenticator. No utilices Aunthy, ya hemos comentado lo mal que funcionan los números de teléfono.

Guarda las páginas más importantes en favoritos

A finales de 2017 hubo una gran cantidad de gente que entró en el mercado de las criptomonedas, tal y como suele ocurrir en las últimas fases de un mercado parabólico. La mayoría no se había tomado el tiempo de estudiar cómo funcionaba el espacio y qué medidas de seguridad cibernética había que tomar.

Tuvieron lugar muchos hackeos con una técnica tan simple como copiar una página web de un exchange o de una cartera de criptomonedas. También copiaban la dirección web añadiendo un punto debajo de una letra o alguna diferencia mínima similar. Al introducir el correo y la contraseña, el atacante ya tenía todo lo necesario para extraer los fondos. Mucha gente perdió todo el dinero invertido.

No confíes en los enlaces que te manden por internet a no ser que sea de una fuente conocida. Primero siempre desconfía.

Desactiva los administradores de portapapeles

Copiar un texto almacena esa información para pegarla en otro sitio posteriormente. En Windows, por defecto, los textos se almacenan en el historial de portapapeles. Si has copiado alguna contraseña, habrá quedado guardada y estará a disposición de algún atacante4. Puedes desactivar la opción escribiendo “configuración de portapapeles” en el buscador de Windows (presionar tecla de Windows en el teclado o pulsando sobre el icono de Windows del escritorio con el ratón) y desmarcando la casilla “Historial de portapapeles”.

Seguridad cibernética borrar datos portapapeles en windows 10

Si tienes cualquier otro programa para guardar la información del portapapeles, desinstálalo ahora mismo.

Desactiva el guardado automático de capturas de pantalla

Si tienes algún software para subir a la nube todas las capturas de pantalla que realices, tanto en el ordenador como en el teléfono móvil, desinstálalo y nunca vuelvas a instalar ninguno. Es fácil acabar con una captura de pantalla que contiene información personal en manos de algún programa aleatorio y probablemente inseguro.

Dropbox, OneDrive, Google Drive, entre otros, también permiten activar la opción de guardado automático en la nube de capturas de pantalla. Desactívalos. Siempre puedes guardar las capturas de pantalla en un USB o disco de almacenamiento externo desconectado de la nube si los necesitas por cualquier motivo.

No instales programas de control remoto

El programa de referencia es TeamViewer. Tener un programa que con una simple contraseña permite al acceso remoto total a tu ordenador es un riesgo grandísimo. Nunca instales cualquier programa que permita el control remoto de tu ordenador, nunca.

Revisa los programas instalados en tu ordenador

Es aconsejable formatear el ordenador periódicamente, por ejemplo, cada uno o dos años. Además de deshacerte de programas maliciosos, el ordenador va a funcionar mejor y es una forma de mantener cierto orden.

Revisa los programas que se inician cuando enciendes el ordenador y deshabilita los programas que no necesitas. El menú para desactivar los programas al arrancar se puede encontrar pulsando a la vez “Ctrl+Alt+Supr”, pulsando en “Administrador de tareas” en la pantalla azul que aparece y luego en la pestaña “Inicio”. Dentro de la pestaña, solo tienes que buscar la aplicación que no necesites y pulsar “Deshabilitar”.

Administrador de programas. Lista de programas que se ejecutan al iniciar windows

No instales programas a la ligera

No instales programas que no necesitas o que es de fuentes desconocidas, solo necesitas un error para tener serias consecuencias. Mantén todos los programas actualizados a la última versión disponible. No bajes programas desde Torrent. Evita aplicaciones que provengan de enlaces, correos electrónicos o de páginas dudosas de internet.

Evita instalar programas que tienen acceso al sistema (los que necesitan permisos de administrador). Programas que permiten pequeñas personalizaciones visuales de iconos o de escritorio, o programas que son de desarrolladores desconocidos. No olvides los ya mencionados administradores de portapapeles, guardado automático de capturas de pantalla o control remoto.

Navegador de internet

Ve a las opciones de tu navegador y asegúrate de que las siguientes opciones están correctamente marcadas. En Chrome, puedes llegar a ellas yendo a “Configuración”, “Configuración avanzada”, “Privacidad y seguridad” y “Configuración del sitio web”. Configura tu navegador:

Configuración de Google Chrome para una buena seguridad cibernética
  • Acceso de complementos sin pasar por la zona de pruebas: Preguntar cuando un sitio quiera utilizar un complemento para acceder a tu ordenador: Activado
  • Ubicación: Preguntar antes de acceder
  • Cámara: Ubicación: Preguntar antes de acceder
  • Micro: Ubicación: Preguntar antes de acceder
  • Flash: Ubicación: Preguntar antes de acceder
  • Ventanas emergentes: Ubicación: Preguntar antes de acceder
  • Vigila a qué páginas o extensiones le das permisos para acceder a ubicación, cámara o micro en el futuro

Revisa las extensiones de tu navegador de internet. Elimina todas las que no utilices, no necesites o no sean de una fuente fiable. Si tienes alguna que utilizas poco, pero quieres mantenerla instalada, puedes deshabilitarla hasta que la necesites. Deshabilita las actualizaciones automáticas.

No te conectes a redes Wi-Fi públicas

Se ha demostrado muchas veces que es muy fácil acceder a las redes públicas y a través de ellas, a todos los usuarios conectados5,6,7,8. No utilices redes públicas, nunca. Hoy en día las tarifas con más de 20Gb de internet son muy asequibles.

Considera utilizar un VPN

Las Redes Privadas Virtuales (VPN en inglés) encriptan tu conexión a internet haciendo que ni tu proveedor de internet sepa qué envías y qué recibes. Los sitios a los que te conectes no obtendrán tu dirección IP y, por tanto, no sabrán desde donde te estás conectando. Además, puede llegar a ser de mucha utilidad si quieres conectarte a un servicio para que se piense que eres de otro país.

Uno de los VPN más conocidos que hay en el mercado es NordVPN, aunque es de pago, cuesta menos de 5€ mensuales si eliges las suscripciones anuales.

También te recomiendo ProtonVPN, ahora con un plan gratuito que te permite utilizar plataformas de criptomonedas de forma segura y gratis. Sigue mi tutorial de ProtonVPN para instalarlo de forma rápida y sin errores.

Si entiendes el inglés, esta es la mejor guía de comparación de todas las VPN que hay en el mercado. Es una auténtica maravilla y se actualiza con regularidad.

Almacenamiento en la nube (Dropbox, iCloud, OneDrive)

Nunca subas información personal, la información que cuelgues se queda de por vida incluso si la eliminas de la carpeta. Desactiva funciones como la de subir todas tus capturas de pantalla, desactiva las copias de seguridad de tu sistema y opta por un disco duro externo en su lugar. Vigila no poner información importante en carpetas que puedan estar sincronizando con la nube. Sobre todo, no sincronices tu carpeta de descargas, escritorio o tu carpeta principal donde guardas todas las cosas, es demasiado fácil que pongas información personal sin darte cuenta.

Si descubres la clave privada de una criptomoneda, cambia la contraseña o transfiere los fondos a otra cuenta inmediatamente.

Intenta que tenga autenticación de dos factores o si el servicio lo permite, acceso mediante dispositivo físico (trezor o Ledger nano s, Yubikey o U2F).

Encripta tu ordenador

Si utilizas un ordenador portátil, eres susceptible de perderlo. Para evitar problemas, puedes encriptar carpetas individuales pulsando sobre ellas, botón derecho, “Propiedades”, pestaña “General”, “Opciones avanzadas” y luego marcando la casilla “Cifrar contenido para proteger datos”.

Lo ideal es encriptar todo el disco duro, pero Windows no dispone de ninguna herramienta por defecto, a diferencia de Apple que tiene el FileVault. Para encriptar el disco en Windows necesitas tener la versión Business o Enterprise, así que no está disponible una herramienta integrada para la mayoría. Puedes descargarte un software de terceros o guardar tu información privada en un disco externo, desconectado de internet.

Otros consejos

  • Cierra sesión de todos los servicios que utilices por internet una vez hayas acabado su uso
  • Crearse una cuenta de correo electrónico de usar y tirar siempre es mejor que “Iniciar sesión con Facebook”
  • Quita tu número de teléfono y tu correo electrónico como opción de recuperación de tu cuenta de Google. Primero tienes que configurar una autenticación de dos factores y luego eliminar el teléfono y el correo de recuperación. Quita todos los “dispositivos de tu confianza”. https://myaccount.google.com/security
  • Siempre que quieras imprimir códigos de recuperación de contraseñas, hazlo con una impresora que no tenga acceso a internet.

Consejos para criptomonedas

  • Tus criptomonedas no son tuyas a no ser que controles la clave privada. Si mantienes criptomonedas en un Exchange no tienes las claves privadas y no eres el propietario. Compra una cartera física como Trezor o Ledger Nano S y transfiérelas allí.

Nota: Algunos de los servicios contienen enlaces de afiliados. En ningún caso eso te perjudica, a veces recibirás descuentos y yo un pequeño ingreso para la manutención del blog. ¡Así ganamos todos! Todos los servicios los recomiendo porque los he probado y funcionan como se espera, nunca promocionaré nada que pueda ser un fraude.

Si quieres realizar algún apunte, sugerencia o corrección, no dudes en dejar un comentario o enviar un correo a info@inviertenbitcoin.com.

Referencias

  1. Hack a Ian Balina
  2. Ciberataque SIM Swapping, qué puedes hacer para evitarlo
  3. Le roban la cuenta de Twitter al creador de Twitter, Jack Dorsey
  4. Malware modifica las direcciones de Bitcoin al copiar y pegar
  5. Cómo sacarle todo el jugo a una red wifi pública – BBC
  6. 20 minutos para hackear una Wi-Fi pública – Redestelecom.es
  7. Así se espía en las redes WiFi públicas, ¿podemos evitarlo? – Computerhoy
  8. Cómo crear una red WiFi para hackear dispositivos – elblogdelespia.com

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.