Com a usuaris d’Internet, som alguna cosa ingenus. El 46,1 % dels internautes espanyols creu en una Xarxa cada dia més segura. Així ho reflecteix l’últim ‘Estudi sobre la ciberseguretat i confiança de les llars espanyoles‘, elaborat per l’Observatori Nacional de les Telecomunicacions i de la Societat de la Informació (ONTSI). Però, en realitat, l’any passat es van batre tots els rècords en ciberataques. De fet, la majoria (66 %) dels enquestats per a aquest sondeig va sofrir algun problema de seguretat. Rebre correu electrònic no desitjat està entre el més habitual, encara que també creixen els casos de malware (virus informàtics o altres codis maliciosos), la suplantació d’identitat (phishing) en xarxes socials i correu electrònic i l’accés sense consentiment als dispositius. Què podem fer per protegir-nos d’aquests ciberataques? El primer, saber què mals hàbits prenem amb les nostres contrasenyes i que fan que l’hi posem més fàcil als ciberdelincuentes.
“A pesar que ser conscients dels riscos i de com les seves pròpies accions tenen relació directa amb les incidències de seguretat, existeix una tendència a relaxar-se tant en la utilització d’eines de seguretat com en els hàbits prudents”. A què es refereix l’informe citat amb aquest advertiment en ciberseguretat? Usar xarxes wifi segures tant públiques com a privades, protegir els telèfons mòbils amb claus de desbloquejo o aplicacions antirrobo i prendre certes precaucions amb el correu electrònic per evitar el phishing són algunes pràctiques per no relaxar-se en aquest sentit. Però hi ha més.
Què fem malament amb les nostres contrasenyes
Una mesura altament recomanable és parar esment a les contrasenyes, la clau d’accés a totes les nostres dades personals. I no ho fem. El Centre de Ciberseguretat Nacional de Regne Unit (NCSC) assenyala que solament un 15 % dels internautes recorre a mètodes segurs, mentre que en el top tingues de les claus més empleades —i menys segures— segueixen estant la successió de nombres més senzilla (123456), una altra més llarga (123456789), les primeres lletres del teclat (qwerty), la paraula “password”, o “contrasenya”, o dígits iguals (111111). Unes altres també molt freqüents són el nom propi o el d’equips de futbol, grups de música o personatges de ficció favorits i fins a frases fetes com “iloveyou” (et vull).
Et reconeixes? Doncs ho estàs fent malament, molt mal. Pot ser que pensis que no ets important per als hackers o que tinguis dificultats per memoritzar claus complexes i et decantis per aquestes o altres contrasenyes com la teva data de noces, una paraula senzilla en un altre idioma, qualsevol nombre de mòbil, un lloc o l’aniversari d’algun dels teus fills; claus totes elles fàcils d’hackear i que sovint propaguem sense voler per les xarxes socials. Tampoc és aconsellable usar les formades a partir de la concatenació de diversos elements, com un nom i l’any de naixement (Jose1958).
A més d’emprar contrasenyes gens robustes, també caiem en hàbits molt poc recomanables com recorden des de l’Institut Nacional de Ciberseguretat (Incibe) i la seva Oficina de Seguretat de l’Internauta (OSI):
- compartir les claus: el postit amb la contrasenya pegada en l’ordinador és un exemple clàssic del que no s’ha de fer. Una clau compartida per dues o més persones no és segura.
- emprar les contrasenyes que ens venen per defecte. Hem de canviar-la la primera vegada que accedim a un nou compte o equip per una altra triada per nosaltres. Així evitem l’accés no permès.
- utilitzar el recordatori de contrasenyes. Fer-ho, sobretot en navegadors web, pot facilitar l’accés a personal no autoritzat.
- usar la mateixa clau en diferents serveis o reciclada (la mateixa canviant algun caràcter). “El robatori de la clau en un permetrà l’accés a tots”, recorden en el blog de l’OSI. I és que si l’única contrasenya que empres per a tots els serveis (correu, xarxes socials, banca online…) es veu compromesa en tan sol un d’ells, deixaràs la teva “casa” digital ben oberta als ciberdelincuentes. I cuidat! Alguns serveis no emmagatzemen la nostra contrasenya de manera xifrada en els seus servidors, per la qual cosa involuntàriament l’estem compartint amb aquests serveis i qualsevol persona que tingui accés a aquesta base de dades pot esbrinar les nostres credencials i fer ús d’elles. Per aquest motiu sigui vital no utilitzar la mateixa clau. Com podem identificar aquests llocs? Una pista: si en donar-nos d’alta ens diuen quin és la nostra clau o en clicar en “no recordo la meva contrasenya” l’envien per email, en lloc de proporcionar-nos un enllaç per modificar-la.
- no canviar-les cada tres o sis mesos. Fins ara, el convenient era variar-les amb certa periodicitat, segons la importància del servei. I se segueix recomanant. No obstant això, recerques científiques recents qüestionen les polítiques de caducitat de les contrasenyes, que obliguen a l’usuari a pensar una nova clau d’accés cada dos o tres mesos i que, en general, resulta molt semblada a l’anterior per no oblidar-la. Fins a Microsoft s’ha sumat a l’eliminació d’aquest sistema de seguretat. “Si una contrasenya mai es roba, no hi ha necessitat que caduqui”, diuen.
Imatge: kalhh
Com accedeixen els ciberdelincuentes a les nostres claus
Aquests errors l’hi posen més fàcil als ciberdelincuentes, que no dubten a aplicar qualsevol mètode per fer-se amb les nostres contrasenyes i aconseguir el que volen. Els experts d’Entelgy Innotec Security resumeixen en cinc les formes més freqüents amb les quals les hi enginyen a través de la Xarxa per robar les nostres claus:
- Força bruta. El cibercriminal utilitza programes per provar contrasenyes amb combinacions a l’atzar fins a donar amb la correcta, començant per les més comunes. I si això no funciona, tractarà d’obtenir alguna pista en els perfils de xarxes socials. Per això, és recomanable configurar les opcions de privadesa de les xarxes que usem, no compartir informació personal de manera pública i evitar acceptar peticions d’amistat de persones desconegudes (per exemple, en Facebook), entre altres consells que detallem en aquest article.
- Atac de diccionari. Un programari s’encarrega de donar amb la contrasenya. Per a això tira de diccionari. Comença per la “a” i segueix provant amb paraules més complexes, una a una, fins a intentar amb totes les que estan incloses en el diccionari. Si la nostra contrasenya és una paraula reconeguda (“llapis”, “núvol” o “xocolata”), acabarà donant amb ella.
- Spidering. Els ciberdelincuentes s’aprofiten d’una pràctica molt desafortunada: crear contrasenyes relacionades amb la vida personal o treball. En aquesta tècnica s’empra una “aranya” de cerca; és a dir, un programa informàtic que recorre les pàgines web, inspecciona el seu contingut, emmagatzema la informació rellevant (com a adreces d’emails, enllaços o dades de formularis) i, a continuació, recorre els enllaços d’aquesta pàgina, repetint el procés amb les següents pàgines.
- Atac de Keylogger. De forma inconscient, l’usuari instal·la un malware (keylogger) en accedir a un enllaç o descarregar un arxiu d’Internet. A partir d’aquest moment, el “programa” registra totes les pulsacions que es fan amb el teclat, incloent les contrasenyes, i les hi envia als ciberdelincuentes. Els keyloggers estan dissenyats per passar desapercebuts, per la qual cosa són difícils de detectar. Un potent antivirus o tallafocs actualitzats o programes com Spybot o Malwarebytes et serviran de protecció. I el sentit comú en navegar per la Xarxa també funciona: esborrar correus i missatges que no siguin para nosaltres; no descarregar contingut de pàgines de dubtosa credibilitat, ni clicar en enllaços; si el remitent és desconegut, no descarregarem els fitxers adjunts al correu electrònic i, en cas de dubte, comprovarem tots els adjunts amb serveis com a Virus Total; i, per descomptat, no instal·lar programari pirata.
- Phishing. Els cibercriminales enganyen a la víctima perquè introdueixi les seves credencials d’inici de sessió en un formulari fraudulent, al que l’usuari ha accedit en fer clic en un enllaç enviat a través de correu electrònic, xarxes socials o aplicacions de missatgeria instantània. Aquest missatge de phishing suplanta la identitat d’una organització o empresa important, de manera que l’usuari creu que està en una pàgina web en la qual confia. La manera més senzilla de detectar el frau és mitjançant l’adreça URL, que serà diferent de la real. Per això, sempre convé escriure l’adreça del lloc que volem visitar en el navegador en lloc de seguir un enllaç, máxime quan es tracta de pàgines delicades (com el portal d’un banc, per exemple). També és important recordar que els bancs mai demanen informació confidencial o dades personals via correu electrònic.
Imatge: geralt
Què poden fer amb elles
No sempre hi ha una fi econòmica per al robatori de contrasenyes. Dependrà, i molt, del lloc al que la persona accedeixi amb elles, tal com assenyalen en l’OSI:
- Vandalisme. Pot accedir al nostre compte de correu i llegir, modificar o eliminar tot el seu contingut, o en una xarxa social esborrar els contactes o la informació que aportem en ella.
- Espionatge. Accedir a converses privades en xarxes socials o missatgeria instantània, correus electrònics o moviments bancaris. Entre les motivacions per fer això estan l’extorsió, el xantatge, el plaure d’immiscuir-se en la intimitat dels altres o el desig de fer mal revelant informació personal.
- Suplantació d’identitat. Es faria passar per nosaltres. Podria enviar correus en el nostre nom o utilitzar el nostre compte de correu per enviar correu brossa; escriure posts i comentaris i publicar fotos i vídeos en el nostre nom; i fins a modificar la contrasenya per impedir-nos entrar i utilitzar el servei. La nostra reputació podria veure’s perjudicada i fins a podrien fer-nos algun xantatge.
- Robatori econòmic. La suplantació d’identitat podria derivar a usar les contrasenyes per fer compres online i accedir al nostre compte bancari i realitzar transferències al cibercriminal.
