Imagen: Centro Criptológico Nacional
Ha consultat el seu correu electrònic en un cibercafé o una altra xarxa wifi comunitària? És dels quals repeteixen la seva contrasenya en el mòbil, compte bancari online i fins i tot a les seves xarxes socials? Doncs ha de saber que la seva identitat digital corre perill. Javier Candau, cap de Ciberseguretat del Centre Criptològic Nacional, dona en aquesta entrevista diversos consells per protegir-se en Internet: entre ells, com crear una clau més segura, saber quan un ciberdelicuente pot haver-se apropiat de les seves credencials i mai consultar comptes personals -com el correu electrònic- en llocs poc assegurances.
Si som massa confiats? A causa de la facilitat d’ús, no ens plantegem la seguretat com una tasca diària i pequem d’excés de confiança. Un hacker no és una amenaça per se. L’amenaça són els ciberdelincuentes que utilitzen les seves habilitats d’hacking per aprofitar-se del nostre excés de confiança o de la nostra falta de coneixement de les noves tecnologies per obtenir un benefici. Encara que no hem de ser paranoicos en navegar per Internet, sí que cal estar vigilants i seguir unes pautes mínimes per estar raonablement segurs. Tots aquells actes delictius del món real que siguin susceptibles de ser comesos al món virtual són una oportunitat per als atacants que s’escuden en l’anonimat que els permet la Xarxa.
“No hi ha una fórmula màgica que ens permeti estar segurs al 100% en Internet, l’única fórmula és convertir la seguretat en un hàbit”A priori no és fàcil saber si la nostra contrasenya ha estat compromesa. La detecció d’algun tipus de codi nociu en el nostre ordinador o a la xarxa a la qual estiguem connectats ha de fer-nos sospitar que tant les credencials com un altre tipus d’informació sensible s’han pogut veure compromeses. Igualment, una mala praxi, com accedir a certs serveis (correu electrònic, banca online, etc.) a través d’equips de tercers (cibercafés, hotels, etc.) o connectar-se a Internet mitjançant xarxes wifi públiques, susceptibles de ser explotades, ha de mantenir-nos alerta. En altres ocasions, és possible que detectem petits comportaments anòmals en el nostre equip -com a lentitud, obertura de finestres, etc.- que ens han de fer sospitar que alguna cosa anòmal està succeint.
Existeixen algunes salvaguardes proporcionades pels proveïdors de programes. A més, molts serveis de correu electrònic, com Gmail o Windows Live, notifiquen quan l’accés de la IP (el nombre que identifica a cada dispositiu dins d’una xarxa) no correspon al país origen o generen unes altres alertes basades en comportaments no habituals, que han d’alertar-nos.
A més, hi ha nombrosos serveis web que recopilen informació de filtracions massives públiques de credencials procedents de diferents entitats. Habitualment es tracta d’informació sobre comptes de correu electrònic, de serveis en el núvol o de plataformes de streaming, entre unes altres. Alguns d’aquests serveis són: Have I been pwned?, Hacked-emails, We Leak informació o IsLeaked. Però cal tenir en compte que la informació que manegen pugues no estar completament actualitzada ni verificada. Tampoc podem estar segurs que les dades de cerca que introduïm en aquestes pàgines siguin manejats amb el nivell de protecció requerida per part del propietari. Per això, la recomanació és no buscar dades completes ni utilitzar comodins amb l’asterisc (*) per a una cerca més anònima i genèrica.
En el cas que sospitem o tinguem seguretat que ens han robat les contrasenyes, és imprescindible canviar-les. Així mateix, és important realitzar un exercici de memòria per recordar en quins llocs, ordinadors, pàgines web, etc. s’han utilitzat. L’objectiu és intentar trobar l’origen del robatori.
No existeix una dada concreta a nivell nacional, doncs molts d’aquests robatoris o no es denuncien o passen inadvertits per a la pròpia víctima. A més, les dades habitualment publicades corresponen al bolcat de bases de dades de grans proveïdors de diferents serveis d’àmbit global.
“La contrasenya perfecta no existeix, però sí podem crear contrasenyes que siguin difícilment vulnerables”La resposta ràpida és no, perquè s’ha demostrat que el que era impossible robar abans sí és possible robar ara. En qualsevol cas, cal diferenciar entre la dificultat per poder esbrinar la contrasenya mitjançant força bruta (provant totes les combinacions possibles) i els mitjans d’emmagatzematge de les contrasenyes.
El Centre Criptològic Nacional recomana l’ocupació de claus que siguin difícilment vulnerables: contrasenyes llargues, que incloguin caràcters en majúscula i nombres, així com caràcters especials. Com a contrapartida, l’ús d’una clau molt segura que no sigui fàcil de recordar pot posar-la en qüestió. De res ens serveix tenir una contrasenya robusta, si l’apuntem en un pósit a la vista de tot el món. Per això, hem de buscar un equilibri recolzant-nos en gestors de contrasenyes o emprar frases per poder recordar-la amb major facilitat.
Sí, és més freqüent del desitjable, especialment si el sistema en qüestió no imposa cap limitació. Per fortuna, moltes aplicacions i sistemes de control d’accés a xarxes informàtiques ja no permeten introduir contrasenyes “de diccionari”, fàcilment adivinables, sinó que obliguen al fet que tinguin una certa robustesa.
En les guies del Centre Criptològic Nacional de bones pràctiques, dirigides al públic en general, realitzem una sèrie de recomanacions per manejar-nos d’una forma una mica més segura per Internet: ‘CCN-CERT BP-01/16 Principis i recomanacions bàsiques de ciberseguretat‘, ‘CCN-CERT BP-06/16 Navegadors web‘ i ‘CCN-CERT BP-02/16 Correu electrònic‘. Així mateix, el centre ha creat recentment una plataforma de desafiaments de ciberseguretat, cridada Atenea, perquè qualsevol persona que tingui inquietuds en aquest camp i vulgui aprendre més pugui de fer-ho d’una forma entretinguda. Amb tots aquests recursos intentem transmetre els conceptes i pautes que cal tenir en compte perquè la ciberseguretat sigui alguna cosa quotidià, i desmitificar que aquesta sigui solament per a uns pocs. No hi ha una fórmula màgica que ens permeti estar segurs al 100%, l’única fórmula és convertir la seguretat en un hàbit.
