¿Puedo protegerme de ataques a mi ordenador personal?
Los ciberdelitos continúan creciendo a gran velocidad: en España se dieron más de 16.900 procedimientos judiciales por ciberdelincuencia en 2020, una cifra que supone un crecimiento del 28,69 % respecto a 2019, según datos de la Fiscalía General del Estado. Además, el Estudio sobre la cibercriminalidad en España dice que "es previsible que los ataques y vulnerabilidades relacionados con redes domésticas o dispositivos personales se incrementen".
La buena noticia es que se pueden usar algunas estrategias para protegerse de estas amenazas. Jordi Serra y Cristina Pérez Solà, profesores de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, proponen 25 recomendaciones para navegar seguro por internet.
Una contraseña para cada cosa
No reutilizar las contraseñas en diferentes páginas web o servicios es una premisa clave. La razón, según explica Cristina Pérez Solà, es que, si usamos la misma contraseña y esta queda comprometida, afectaría a todos los servicios en los que la hayamos usado. "Además, si alguno de los sitios es de dudosa fiabilidad, incluso podría estar almacenando aquella contraseña expresamente para después venderla a terceros", explica.
Olvidarse de palabras de uso común para nuestras claves
Igualmente, es importante evitar elegir palabras de uso común como contraseña, "es decir, palabras que puedan aparecer en un diccionario, como pueden ser hola, contraseña o chocolate", dice la profesora de la UOC. También hay que huir de las contraseñas populares como "0000" o "1234", ya que, al ser muy comunes, "son, con mucha probabilidad, las primeras que un atacante probará", añade.
Cuanta más longitud tenga la contraseña, mejor
Otra recomendación respecto a las contraseñas es aumentar su longitud, además de añadir caracteres especiales, mezclar números y letras, y usar mayúsculas y minúsculas. Todo ello aumenta la dificultad de ser atacados con éxito.
Usar un segundo factor de autenticación
Aunque todo lo anterior ayuda a evitar ataques, la forma más efectiva de impedir que alguien use nuestras contraseñas es usar un segundo factor de autenticación, que consiste en que "nos envíen un mensaje o en usar una aplicación en el móvil en el momento en el que introducimos correctamente la contraseña. El usuario es el único que dispone de esta segunda autenticación, por lo que no es fácil suplantar su identidad", explica Jordi Serra.
Un aliado: el gestor de contraseñas
Los gestores de contraseñas nos ayudan a guardar las contraseñas de los diferentes servicios y webs que tenemos, de modo que permiten guardar todas las claves de acceso, que cada vez son más, en un único lugar. "Solo hay que tener claro que la contraseña maestra que pongamos en estos gestores debe ser única y lo más complicada posible para que no se puedan descifrar las contraseñas guardadas dentro de manera cifrada", aconseja el profesor de la UOC.
Copia de seguridad al comprar un ordenador nuevo
Una recomendación de los expertos es que, cuando compremos un ordenador nuevo, creemos una copia de seguridad de todo el disco duro, de manera que siempre conservemos esa copia íntegra del disco duro sin utilizar. "Así, si hiciera falta, se podría reinstalar manteniendo el ordenador nuevo como el primer día sin ningún problema, aunque lo siguiente que tendríamos que hacer es aplicar todas las actualizaciones disponibles que hayan salido después", aconseja Serra.
Un usuario diferente al administrador para trabajar
Otro consejo del profesor de la UOC es crear un usuario nuevo para trabajar y guardar únicamente el usuario administrador, con una contraseña diferente, para las instalaciones y configuraciones. Es importante que no trabajemos como administradores del ordenador a diario.
Restaurar el software si instalamos aplicaciones de terceros
No es necesario restaurar el software de nuestro ordenador si no nos instalamos aplicaciones de terceros que sean de poca confianza, "pero si lo hacemos, o si nos instalamos juegos que no son conocidos o hacemos tareas similares, entonces sí hace falta", indica Jordi Serra.
Desconfiar si el comienzo de la URL no es https
Como explica Cristina Pérez Solà, una dirección que empieza por https indica que se está usando el protocolo de comunicación HTTPS, que es una versión del protocolo HTTP que ofrece cifrado e integridad de los datos y autenticación del servidor. Por un lado, el cifrado de los datos es importante, ya que "evita que un adversario que esté escuchando el tráfico de red pueda ver la información que se está enviando al servidor. Por ejemplo, si estamos haciendo una compra por internet utilizando una wifi de un bar, es importante que la comunicación sea cifrada para asegurar que los propietarios del bar no puedan ver el número de tarjeta que estamos utilizando para pagar o los productos de nuestro carro de la compra", señala la profesora de la UOC. Por otro lado, la integridad de los datos asegura que estos no han sido modificados. "Siguiendo con el ejemplo anterior, impide que los propietarios del bar puedan cambiar los precios de los productos que vamos a comprar o modifiquen la dirección de entrega del producto sin que nos demos cuenta", añade. Por último, la autenticación nos permite confirmar que la web es lo que dice ser.
El candado no garantiza la seguridad
El icono del candado que aparece al lado de la dirección de una web puede transmitir una sensación de seguridad. Sin embargo, es falsa. Como advierte Serra, "el candado solo sirve para avisar de que la comunicación hacia el servidor web está cifrada y que han pagado para tenerlo, pero no tiene nada que ver con el hecho de que la web sea legítima o un fraude. Únicamente indica que esa web funciona con HTTPS, nada más".
Lo que hay que hacer para controlar las cookies
Las cookies se han convertido en un problema, porque, aunque estemos recibiendo constantemente la información para configurarlas, ya pocos las configuran al entrar en una página web para que no se les haga un seguimiento. Sin embargo, es necesario hacerlo. "Hay que parar unos segundos y mirar bien la configuración de las cookies que aceptamos, puesto que muchas nos rastrean y saben todas las páginas web que visitamos", indica el profesor Serra, miembro del grupo de investigación K-riptography and Information Security for Open Networks (KISON) de la UOC.
Evitar la huella del navegador
Hoy en día existen otros mecanismos más allá de las cookies que permiten a las páginas web rastrear a sus usuarios. Por ejemplo, se puede usar la huella del navegador como identificador. Como explica Cristina Pérez Solà, la huella del navegador es un conjunto de características que identifican nuestro navegador de manera casi única y que, por lo tanto, permiten rastrearnos mientras navegamos por internet, aunque borremos las cookies o cambiemos de IP. La huella del navegador utiliza propiedades como la versión del navegador, las extensiones instaladas, la resolución de pantalla, el sistema operativo o la manera en la que se renderizan diferentes fuentes tipográficas. Para favorecer la navegación y las búsquedas privadas, se puede acudir a navegadores como Tor o utilizar la red de anonimato Tor. "Este sistema sí que nos asegura un poco de anonimato y privacidad de los datos que circulan por internet", explica Serra.
Desconfiar del "modo incógnito"
A pesar de su nombre, el "modo incógnito" no nos protege de posibles ataques. Según los expertos, lo único que lo caracteriza es que no guarda en el historial las webs que visitamos y que las cookies no quedan guardadas, "pero eso no implica que sea anónimo", advierte Jordi Serra. La razón es que no oculta nuestra dirección IP o el punto desde donde nos conectamos, y tampoco se establecen conexiones seguras o cifradas.
Sí al antivirus
Un antivirus nos va a proteger de los troyanos y virus ya conocidos, por lo que nos proporcionará cierta seguridad. En cuanto a los nuevos virus, no es frecuente que se utilicen en las casas particulares. Sin embargo, en caso de que lo hicieran, no estaríamos protegidos.
Cuidado con los permisos para instalar extensiones
Las extensiones son programas que añaden funcionalidades a los navegadores. En consecuencia, en casi todos los casos necesitan acceder a los datos del disco o de los programas, por lo que debemos ser muy cuidadosos con las que instalamos. Por eso, la profesora Pérez Solà, también miembro del grupo de investigación KISON de la UOC, recomienda que, antes de conceder los permisos, pensemos si la aplicación realmente necesita acceder a los datos por los que está solicitando el permiso para funcionar correctamente, y no instalemos aplicaciones que soliciten más datos de los que necesitan. "Muchas extensiones solicitan el permiso de 'leer y modificar los datos de todos los sitios web', y ello puede ser muy peligroso, ya que les da carta blanca para ver y modificar todo lo que se hace desde el navegador. Por ejemplo, pueden capturar las contraseñas que se utilizan para autenticarse en sitios web o añadir publicidad a las páginas web que visitamos", advierte.
Si las instalamos, que sean legítimas
También es importante asegurarse de que la aplicación es legítima, por lo que es preferible descargar las extensiones desde la página oficial del navegador (por ejemplo, el Web Store de Chrome o la página de complementos de Firefox), ya que estas extensiones ya han pasado un proceso de validación previo, indica Cristina Pérez Solà. Además, algunos detalles pueden darnos información adicional, como el número de descargas de la aplicación o los comentarios y valoraciones que otros usuarios han escrito. "Personalmente, desconfío no solo de aplicaciones que tienen malas valoraciones, sino también de aplicaciones que tienen valoraciones 'demasiado buenas', sobre todo si todas ellas son similares, han sido escritas en un periodo de tiempo corto y tienen la puntuación máxima", añade.
Tarjeta virtual de un solo uso para compras en línea
Una buena idea a la hora de realizar compras en línea es utilizar una tarjeta virtual de un solo uso para hacer el pago. Estas tarjetas tienen, del mismo modo que las "normales", un número, una fecha de caducidad y un código de seguridad (CVV), pero se caracterizan porque solo permiten una única compra. "De este modo, si un adversario clona la tarjeta u obtiene los datos en un ataque a la base de datos de la web en la que hemos comprado, no le servirá de nada, ya que ya no será válida una segunda vez", dice la profesora de la UOC. Además, estas tarjetas pueden combinarse también con tarjetas de prepago que pueden recargarse con un importe concreto, añade. "Así, se puede depositar en la tarjeta el importe exacto de la compra, con lo que nos aseguramos de que no nos cobrarán de más", concluye Pérez Solà.
Prestar atención a la web en la que se compra
Independientemente de que usemos o no una tarjeta virtual, antes de realizar ningún pago, debemos echar un vistazo a las tiendas donde compramos y tenemos que fijarnos en su reputación o en si hay comentarios en la red sobre ellas (si no hay o son malos, es preferible no comprar esa "megaoferta" que tienen a menos de la mitad del precio de coste). Desconfiando de las nuevas webs, y sobre todo de introducir nuestra tarjeta de crédito en ellas, podemos ahorrarnos un posible disgusto.
No proporcionar datos ni pinchar en enlaces sospechosos
Si recibimos un correo de una supuesta empresa o un proveedor que creemos ilegítimo, lo mejor es visitar directamente la web de la empresa y buscar allí mismo el enlace con el servicio que nos esté ofreciendo el correo. Por ejemplo, si recibimos un correo de nuestra empresa de telefonía ofreciéndonos un descuento en nuestra tarifa, lo mejor es visitar la web de la empresa de telefonía y buscar allí la oferta que nos están ofreciendo por correo para evitar así hacer clic en el enlace que nos envían.
Mucha precaución con las líneas de wifi abiertas o compartidas
Los expertos aconsejan usar las redes wifi abiertas únicamente para navegar y buscar información acerca de consultas generales, pero nunca —ni aun cuando tengan contraseña— para conectarnos al banco o a una tienda e introducir los datos de pago. "Si es necesario, debemos desactivar la wifi para conectarnos vía GSM, ya que desde este sistema es mucho más complicado y costoso obtener los datos que enviamos hacia internet", indica Jordi Serra.
Cuándo usar redes VPN
Utilizar una conexión VPN para navegar por internet cuando hacemos uso de wifis públicas puede ser una buena alternativa, puesto que asegura que los datos viajarán cifrados y permite esconder el destino de nuestras conexiones. "Ahora bien, es importante seleccionar un proveedor de VPN con ciertas garantías de privacidad, ya que, si no, podemos huir del fuego y dar en las brasas", advierte Pérez Solà.
Proteger las redes de casa
Para proteger las redes de casa hay dos premisas básicas: que siempre tengan contraseña y, si tenemos dispositivos muy antiguos que no lo permitan, usar algoritmos WPA3, la tercera revisión de un protocolo de seguridad usado en las redes wifi y certificado por la fundación Wi-Fi Alliance.
Qué precauciones tener con los códigos QR
Los códigos QR son una representación en formato imagen de un texto. Este texto se pasa a código binario y se representan los ceros y los unos en blanco y negro, por lo que no podemos ver lo que hay escrito dentro de ese código QR. "Debido a esto, la recomendación es leer el código QR y, antes de abrirlo directamente, mirar cuál es la dirección URL a la que el navegador nos va a llevar. Si vemos que es una URL que no es conocida, o que nos parece fraudulenta, lo mejor será plantearse no abrir el enlace asociado a ese QR", aconseja Jordi Serra.
Actualizar el navegador
Todos los navegadores muestran la información web a la que se quiere acceder y avisan de los certificados caducados. Sin embargo, debemos tener en cuenta que también tienen que actualizarse y que es necesario descartar los que estén obsoletos, como las versiones antiguas o Internet Explorer, que ha dejado de dar soporte y, por tanto, ya no se actualiza.
Cuándo analizar si un fichero está libre de virus
No es necesario analizar siempre un fichero antes de abrirlo, pero si nos parece sospechoso, el consejo de los expertos es que visitemos alguna de las webs que pasan antivirus en línea de ficheros, como por ejemplo VirusTotal.com.