La semana pasada estuve dando una charla en la 5º edición de Marketing Rocks (ES), que este año por razones obvias se celebró únicamente de forma online.
A sabiendas que el perfil era principalmente no técnico, me decanté por una ponencia sobre herramientas de ciberseguridad para el usuario de Internet. Lo mínimo de lo mínimo que recomendaría a cualquier usuario (y más aún a aquellos en riesgo de ser atacados) para que su paso por la red no acabe en tragedia.
Comenté de pasada la importancia de proteger nuestros datos hablando de cómo campañas aparentemente tan banales como la de #10yearChallenge de hace algo más de un año pueden servir a un cibercriminal para generar una base de datos biométrica de millones de personas. Y esto, como ya comentamos recientemente, en malas manos puede ser terrible.
Y luego continué hablando de la estrategia anti-privacidad de China, y cómo poco a poco se está imponiendo en el resto de países occidentales.
El grueso de la charla lo ocupó esos 4 Pilares de la Presencia Digital que llevo defendiendo desde hace años, y que se resumen en:
Índice de contenido
1.- Diferentes cuentas, diferentes contraseñas
Que como sé que una cosa es decirlo y otra hacerlo, acabo por reducir a «usa un gestor de contraseñas».
En el mercado hay tropocientos mil, y siendo sinceros, casi todos ofrecen exactamente lo mismo. Así que compra la licencia del que quieres, pero utiliza uno.
¿Por qué? Pues porque con un gestor de contraseñas, pasamos de un sistema de autenticación basado en el conocimiento (es decir, yo demuestro que soy yo en un servicio digital porque me sé la contraseña) a uno basado en la posesión (yo demuestro que soy yo porque TENGO ACCESO a una herramienta (el gestor de contraseñas) a la que solo debería tener acceso yo).
¿Y qué tiene esto de bueno? Pues que al no tener que recordar mil y un contraseñas complejas, las contraseñas que genera el Gestor de Contraseñas son mucho más seguras (alfanuméricas con signos incluidos sin correlación con palabras o fechas relacionadas con nosotros).
Y lo mejor de todo es que entonces solo tendremos que recordar una única contraseña (la que nos da acceso al gestor de contraseñas), que era ya, de hecho, lo que la mayoría de usuarios hacían.
Fácil, sencillo, para todos los gustos :).
2.- No les facilites el trabajo a los cibercriminales
Que se traduce en: Utiliza un 2FA y una VPN.
¿Qué es un 2FA y por qué te recomiendo utilizarlo?
¿Qué es un 2FA? Pues justo lo mismo que te pide tu banco cada vez que quieres comprar online con tu tarjeta de crédito.
Se trata de un código que te envían o bien vía SMS, o bien vía token con una app (como la del banco) que es único (se genera y dura X minutos) y que te permite demostrar que eres tú quien intenta identificarse con un servicio a tu nombre.
Lo bueno de los segundos factores de autenticación es los activamos una vez, y generalmente, como solemos utilizar los mismos dispositivos y nos conectamos normalmente desde las mismas direcciones, no nos vuelven a molestar más.
En cambio, gracias a ellos eliminamos de un plumazo prácticamente el 95% de los riesgos digitales basados en el robo de cuentas.
¿Por qué?
Porque incluso si un cibercriminal conoce nuestro usuario (normalmente o el número de teléfono o el mail, es decir, cosas que ya son públicas) y nuestra contraseña:
- Si no tenemos un 2FA activo: Puede entrar en nuestra cuenta y hacerse pasar por nosotros. El ataque ha tenido éxito.
- Si tenemos un 2FA: Cuando meta el usuario y la contraseña, al intentar acceder desde un dispositivo y/o conexión distinta, el sistema le va a pedir que demuestre que eres tú activando el 2FA. Y claro, para hacer esto necesita o bien haberte robado además el smartphone físicamente, o hacer un ataque dirigido específicamente a ti (SIM Swapping).
Por eso siempre digo que gracias al 2FA pasamos de un riesgo global (tal compañía es comprometida, y se liberan millones de pares usuario/contraseña entre las que está la nuestra) a uno local (además de lo anterior, para comprometer nuestra cuenta van a tener que comprometernos a nosotros directamente, bien sea con un hurto físico, bien sea con un ataque de ingeniería social muy avanzado).
Para colmo, la amplia mayoría de los 2FA del mercado son gratuitos, así que no hay excusa.
Actívalos en tu correo, en tus perfiles sociales, en la cuenta del banco y en todos los sitios donde puedas, ya que esas cuentas pasan entonces a estar prácticamente protegidas ante la mayor parte de ataques.
Tienes hasta herramientas como Google Authenticator, que es gratuita, y te permite tener en tu smartphone varios 2FA a diferentes servicios.
¿Qué es una VPN y por qué te recomiendo utilizarla?
Y llega el turno de las Virtual Private Networks. Para entender por qué son tan importantes, voy a explicarte cómo funciona a grandes rasgos Internet.
Imagínate que tú quieres entrar en cyberbrainers.com.
Para ello, vas a tu navegador y tecleas cyberbrainers.com. En ese momento tu dispositivo se pone en contacto con el servidor donde está alojada esta página. El servidor recibe esa petición, y le devuelve a tu dispositivo unos archivos con la web, que el navegador de tu dispositivo renderiza para que tú veas la página y no solo 1s y 0s.
En cambio, si quieres hacer lo mismo pero utilizando una VPN:
De nuevo vas al navegador y tecleas Cyberbrainers.com. En ese momento tu dispositivo se pone en contacto con el servidor VPN, y es éste quien se pone en contacto con el servidor de esta web. El servidor recibe esa petición, y le devuelve, no a ti, sino al servidor VPN, la petición, y este servidor ya te devuelve a ti los archivos que tu navegador renderiza para que veas la web.
Es decir, con una VPN tenemos una capa extra de seguridad. La VPN hace de intermediario entre lo que enviamos y lo que recibimos.
¿Por qué recomiendo tener siempre una?
Pues porque gracias a ellas, te aseguras 100% que al menos la comunicación entre tu dispositivo y el servidor VPN se hace de forma segura.
- En el primer caso dependes de que esa conexión esté bien desarrollada (el desarrollador detrás de la página o servicio online haya hecho bien su trabajo).
- En el segundo caso no dependes de terceros. Lo sabes a ciencia cierta.
Eso y que además, quien se pone en contacto con el servidor no eres tú, sino el VPN. Ergo la comunicación se hace de forma privada (a ojos de cyberbrainers.com quien llamó a la puerta no has sido tú, sino el servidor VPN).
Tienes en el mercado muchas VPNs, tanto de pago como gratuitas, pero aquí sí te recomendaría que apostaras únicamente por las de pago, ya que mantener un servicio como es una VPN cuesta bastante, y si no pagas… es porque el modelo de negocio son tus datos.
Ha ocurrido en más de una ocasión con VPNs gratuitas (revendían tus datos a terceros), y seguirá ocurriendo.
En mi caso, como ya he contado en más de una ocasión, utilizo NordVPN (ES), que además tiene ahora un descuento de hasta el 68% en su servicio. Año tras año NordVPN está considerada de las VPNs mejores que hay en el mercado, con servidores repartidos a lo ancho y largo del mundo, así que no puedo hacer más que recomendarla.
Yo la llevo siempre en todos mis dispositivos, y sobre todo cuando me voy a conectar a una red WiFi desconocida, la activo.
3- Que no te tomen por tonto
Que se traduce en que hay que conocer cómo funcionan los fraudes y las campañas de phishing.
Ya he hablado más en detalle de estos puntos otras veces así que no me voy a repetir, y además en la charla tuve que dejarlo solo mencionado por tiempo.
4- Hay que mostrar únicamente lo que queremos que se vea
Es decir, establecer una estrategia de Presencia Digital segura. Justo a lo que nos dedicamos en CyberBrainers, y otro de los puntos que tuve que dejar de lado para no irme de tiempo.
En fin, que quería dejar por aquí estos apuntes por si a alguien le vienen bien.
3 herramientas que activas una vez y ya quedan ahí, minimizando enormemente los riesgos digitales.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.