Como usuarios de Internet, somos algo inxenuos. O 46,1 % dos internautas españois cre nunha Rede cada día máis segura. Así o reflicte o último ‘Estudo sobre a ciberseguridade e confianza dos fogares españois‘, elaborado polo Observatorio Nacional das Telecomunicacións e da Sociedade da Información (ONTSI). Pero, en realidade, o ano pasado batéronse todas as marcas en ciberataques. De feito, a maioría (66 %) dos enquisados para esa sondaxe sufriu algún problema de seguridade. Recibir correo electrónico non desexado está entre o máis habitual, aínda que tamén crecen os casos de malware (virus informáticos ou outros códigos maliciosos), a suplantación de identidade (phishing) en redes sociais e correo electrónico e o acceso sen consentimento aos dispositivos. Que podemos facer para protexernos destes ciberataques? O primeiro, saber que malos hábitos tomamos cos nosos contrasinais e que fan que llo poñamos máis fácil aos ciberdelincuentes.
“A pesar de que ser conscientes dos riscos e de como as súas propias accións teñen relación directa coas incidencias de seguridade, existe unha tendencia a relaxarse tanto na utilización de ferramentas de seguridade como nos hábitos prudentes”. A que se refire o informe citado con esta advertencia en ciberseguridade? Usar redes wifi seguras tanto públicas como privadas, protexer os teléfonos móbiles con claves de desbloqueo ou aplicacións antirrobo e tomar certas precaucións co correo electrónico para evitar o phishing son algunhas prácticas para non relaxarse neste sentido. Pero hai máis.
Que facemos mal cos nosos contrasinais
Unha medida altamente recomendable é prestar atención aos contrasinais, a chave de acceso a todos os nosos datos persoais. E non o facemos. O Centro de Ciberseguridade Nacional de Reino Unido (NCSC) sinala que só un 15 % dos internautas recorre a métodos seguros, mentres que no top ten das claves máis empregadas —e menos seguras— seguen estando a sucesión de números máis sinxela (123456), outra máis longa (123456789), as primeiras letras do teclado (qwerty), a palabra “contrasinal”, ou “contrasinal”, ou díxitos iguais (111111). Outras tamén moi frecuentes son o nome propio ou o de equipos de fútbol, grupos de música ou personaxes de ficción favoritos e ata frases feitas como “iloveyou” (quéroche).
Recoñécesche? Pois o estás facendo mal, moi mal. Poida que penses que non es importante para os hackers ou que teñas dificultades para memorizar claves complexas e decántesche por estas ou outros contrasinais como a túa data de voda, unha palabra sinxela noutro idioma, calquera número de móbil, un lugar ou os aniversarios dalgún dos teus fillos; claves todas elas fáciles de hackear e que a miúdo propagamos sen querer polas redes sociais. Tampouco é aconsellable usar as formadas a partir da concatenación de varios elementos, como un nome e o ano de nacemento (Jose1958).
Ademais de empregar contrasinais nada robustos, tamén caemos en hábitos moi pouco recomendables como lembran desde o Instituto Nacional de Ciberseguridade (Incibe) e a súa Oficina de Seguridade do Internauta (OSI):
- compartir as claves: o postit co contrasinal pegado no computador é un exemplo clásico do que non se debe facer. Unha clave compartida por dúas ou máis persoas non é segura.
- empregar os contrasinais que nos veñen por defecto. Debemos cambiala a primeira vez que accedemos a unha nova conta ou equipo por outra elixida por nós. Así evitamos o acceso non permitido.
- utilizar o recordatorio de contrasinais. Facelo, sobre todo en navegadores web, pode facilitar o acceso a persoal non autorizado.
- usar a mesma clave en diferentes servizos ou reciclada (a mesma cambiando algún carácter). “O roubo da clave nun permitirá o acceso a todos”, lembran no blogue da OSI. E é que se o único contrasinal que empregas para todos os servizos (correo, redes sociais, banca en liña…) vese comprometida en tan só un deles, deixarás a túa “casa” dixital ben aberta aos ciberdelincuentes. E coidado! Algúns servizos non almacenan o noso contrasinal de maneira cifrada nos seus servidores, polo que involuntariamente estámola compartindo con estes servizos e calquera persoa que teña acceso a esa base de datos pode pescudar as nosas credenciais e facer uso delas. Por iso é polo que sexa vital non utilizar a mesma clave. Como podemos identificar estes sitios? Unha pista: se ao darnos de alta dinnos cal é a nosa clave ou ao clicar en non “lembro o meu contrasinal” envíana por e-mail , en lugar de proporcionarnos unha ligazón para modificala.
- non cambialas cada tres ou seis meses. Ata agora, o conveniente era varialas con certa periodicidade, segundo a importancia do servizo. E séguese recomendando. No entanto, investigacións científicas recentes cuestionan as políticas de caducidade dos contrasinais, que obrigan ao usuario a pensar unha nova clave de acceso cada dous ou tres meses e que, polo xeral, resulta moi parecida á anterior para non esquecela. Ata Microsoft sumouse á eliminación deste sistema de seguridade. “Se un contrasinal nunca se rouba, non hai necesidade de que caduque”, din.
Imaxe: kalhh
Como acceden os ciberdelincuentes ás nosas claves
Estes erros ponllo máis fácil aos ciberdelincuentes, que non dubidan en aplicar calquera método para facerse cos nosos contrasinais e conseguir o que queren. Os expertos de Entelgy Innotec Security resumen en cinco as formas máis frecuentes coas que llas ingenian a través da Rede para roubar as nosas claves:
- Forza bruta. O cibercriminal utiliza programas para probar contrasinais con combinacións ao azar ata dar coa correcta, empezando polas máis comúns. E se isto non funciona, tratará de obter algunha pista nos perfís de redes sociais. Por iso, é recomendable configurar as opcións de privacidade das redes que usemos, non compartir información persoal de maneira pública e evitar aceptar peticións de amizade de persoas descoñecidas (por exemplo, en Facebook), entre outros consellos que detallamos neste artigo.
- Ataque de dicionario. Un software encárgase de dar co contrasinal. Para iso tira de dicionario. Empeza pola “a” e segue probando con palabras máis complexas, unha a unha, ata tentar con todas as que están incluídas no dicionario. Se o noso contrasinal é unha palabra recoñecida (“lapis”, “nube” ou “chocolate”), acabará dando con ela.
- Spidering. Os ciberdelincuentes aprovéitanse dunha práctica moi desafortunada: crear contrasinais relacionados coa vida persoal ou traballo. Nesta técnica emprégase unha “araña” de procura; é dicir, un programa informático que percorre as páxinas web, inspecciona o seu contido, almacena a información relevante (como direccións de e-mails , ligazóns ou datos de formularios) e, a continuación, percorre as ligazóns desa páxina, repetindo o proceso coas seguintes páxinas.
- Ataque de Keylogger . De forma inconsciente, o usuario instala un malware (keylogger) ao acceder a unha ligazón ou descargar un arquivo de Internet. A partir dese momento, o “programa” rexistra todas as pulsaciones que se fan co teclado, incluíndo os contrasinais, e envíallas aos ciberdelincuentes. Os keyloggers están deseñados para pasar desapercibidos, polo que son difíciles de detectar. Un potente antivirus ou devasas actualizadas ou programas como Spybot ou Malwarebytes serviranche de protección. E o sentido común ao navegar pola Rede tamén funciona: borrar correos e mensaxes que non sexan para nós; non descargar contido de páxinas de dubidosa credibilidade, nin clicar en ligazóns; se o remitente é descoñecido, non descargaremos os ficheiros adxuntos ao correo electrónico e, en caso de dúbida, comprobaremos todos os adxuntos con servizos como Virus Total; e, por suposto, non instalar software pirata.
- Phishing. Os cibercriminales enganan á vítima para que introduza as súas credenciais de inicio de sesión nun formulario fraudulento, ao que o usuario accedeu ao facer clic nunha ligazón enviada a través de correo electrónico, redes sociais ou aplicacións de mensaxería instantánea. Esta mensaxe de phishing suplanta a identidade dunha organización ou empresa importante, de forma que o usuario cre que está nunha páxina web na que confía. A maneira máis sinxela de detectar a fraude é mediante a dirección URL, que será diferente da real. Por iso, sempre convén escribir a dirección do sitio que queremos visitar no navegador en lugar de seguir unha ligazón, máxime cando se trata de páxinas delicadas (como o portal dun banco, por exemplo). Tamén é importante lembrar que os bancos xamais piden información confidencial ou datos persoais vía correo electrónico.
Imaxe: geralt
Que poden facer con elas
Non sempre hai un fin económico para o roubo de contrasinais. Dependerá, e moito, do lugar ao que a persoa acceda con elas, tal e como sinalan na OSI:
- Vandalismo. Pode acceder á nosa conta de correo e ler, modificar ou eliminar todo o seu contido, ou nunha rede social borrar os contactos ou a información que achegamos nela.
- Espionaxe. Acceder a conversacións privadas en redes sociais ou mensaxería instantánea, correos electrónicos ou movementos bancarios. Entre as motivacións para facer isto están a extorsión, a chantaxe, o pracer de inmiscirse na intimidade dos demais ou o desexo de facer dano revelando información persoal.
- Suplantación de identidade. Faríase pasar por nós. Podería enviar correos no noso nome ou utilizar a nosa conta de correo para enviar spam; escribir posts e comentarios e publicar fotos e vídeos no noso nome; e ata modificar o contrasinal para impedirnos entrar e utilizar o servizo. A nosa reputación podería verse prexudicada e ata poderían facernos algunha chantaxe.
- Roubo económico. A suplantación de identidade podería derivar en usar os contrasinais para facer compras en liña e acceder á nosa conta bancaria e realizar transferencias ao cibercriminal.
