Aplicaciones en la nube, dispositivos móviles y correos electrónicos: el paraíso de los hackers

Barry Cutts

16/08/2017

En junio de este año fue hackeado el sistema de correo electrónico del parlamento británico. Uno pensaría, o esperaría, que este bastión de la democracia sería inexpugnable en materia de ciberseguridad. Pero si hasta los lores y diputados pueden verse afectados, ¿que podemos hacer los demás?

 ¿La madre de todos los ataques?

Los hackers merodean por el Internet y sondean las redes sabiendo que, a base de tenacidad, antes o después encontrarán el modo de entrar en la vida privada de alguna persona. Es posible que su recompensa sea mayor si logran acceder a una empresa, pero los particulares siguen siendo objetivos comunes. Los individuos pueden ser una presa fácil, dado que sus defensas probablemente sean bastante débiles.

La mayoría de las empresas conocen las medidas de seguridad básicas que deben implementar. Los usuarios domésticos suelen ser menos conscientes. Pero dado que las empresas están formadas por gente corriente, se produce un solapamiento cuando personas que no son conscientes de la seguridad incorporan sus propias prácticas y hábitos en línea a la oficina, o a sus dispositivos de empresa.

Sobre el ciberataque a Westminster, un portavoz del parlamento dijo que las 90 cuentas de correo electrónico hackeadas estaban protegidas mediante contraseñas inseguras. Otra característica común que se descubrió tras el ataque de ransomware WannaCry fue un enfoque a la protección poco fiable.

El ransomware afecta a todo el mundo

El ransomware se ha multiplicado en los últimos años. El centro nacional británico de seguridad cibernética informa que las variantes de ransomware se triplicaron en la primera mitad de 2016, en comparación con todo 2015. ¿Cómo consiguen entrar estos atacantes? Antes de presentar sus demandas tienen que conseguir entrar, y ahí es donde las empresas y los individuos corren más riesgo.

Uno de los métodos es phishing, una técnica para incitar a las víctimas a responder a mensajes en apariencia interesantes, a través del correo electrónico, mensajería instantánea o SMS. El centro de seguridad de aplicaciones web Imperva Incapsula muestra dos ejemplos de ataques de phishing:

  • Un correo electrónico falso, supuestamente de myuniversity.edu, se distribuye de forma masiva a todos los miembros de la facultad que sea posible.
  • El mensaje de correo afirma que la contraseña del usuario está a punto de caducar. Se dan instrucciones para ir a myuniversity.edu/renewal y renovar la contraseña en el plazo de 24 horas.

Está claro que la aptitud básica que deben tener todos los usuarios de cualquier tipo de ordenador o dispositivo conectado, es ser astutos con las contraseñas. Muchas personas se toman a la ligera este consejo, en parte porque el proceso de creación de contraseñas es bastante pesado. A menudo aparecen mensajes molestos al establecer una nueva contraseña: “Use alguna letra mayúscula” o “Inserte símbolos y números”. El problema es que dichos requisitos generan contraseñas fáciles de olvidar.

Sea rebuscado, muy rebuscado

Por este motivo, muchos de nosotros solemos elegir contraseñas fáciles de recordar. Por desgracia, este método genera un problema peor todavía. Las contraseñas fáciles resultan más sencillas de descifrar para los hackers. Vale la pena seguir el siguiente consejo de un hacker sobre la protección mediante contraseña:.

Cuanto más rebuscadas sean sus contraseñas (sin ninguna relación con su cumpleaños, iniciales, dirección, lugar de nacimiento o cualquier otro dato personal que un hacker tenaz pueda averiguar de cualquier otra fuente) más difíciles serán de descifrar. Los hackers están menos predispuestos a dedicar su tiempo a un reto complicado si les resulta más fácil atravesar una línea de defensa mal protegida.

Salga de la zona del radar ya

A continuación se enumeran cinco prácticas fiables y sencillas que pueden reducir el riesgo para personas y empresas:

  1. Elija contraseñas rebuscadas y cámbielas a menudo.
  2. Varíe sus contraseñas de modo que una única contraseña no abra la llave de toda su presencia en línea.
  3. Si una oferta parece demasiado buena para ser verdad, es que no lo es.
  4. Elimine cualquier mensaje de correo de personas u organizaciones que no conozca o de países en los que no tenga ningún contacto.
  5. Proteja y realice copias de seguridad de todo lo que sea importante conservar. Use al menos dos de sus propios dispositivos (unidad de disco duro externo/memoria USB) y una fuente de terceros independiente para las copias de seguridad (y recuperación) en la nube.

Puede que tenga suerte. Puede que un día reciba un correo electrónico de la república más remota del mundo, informándole, con la peor gramática posible, que tiene 5 millones de euros bloqueados en una cuenta de un benefactor anónimo, y puede que resulte ser cierto. Pero puede que no.

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.